KR20070100932A - Method and apparatus for providing bootstrapping procedures in a communication network - Google Patents
Method and apparatus for providing bootstrapping procedures in a communication network Download PDFInfo
- Publication number
- KR20070100932A KR20070100932A KR1020077020840A KR20077020840A KR20070100932A KR 20070100932 A KR20070100932 A KR 20070100932A KR 1020077020840 A KR1020077020840 A KR 1020077020840A KR 20077020840 A KR20077020840 A KR 20077020840A KR 20070100932 A KR20070100932 A KR 20070100932A
- Authority
- KR
- South Korea
- Prior art keywords
- key
- authentication
- message
- parameters
- encryption
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4416—Network booting; Remote initial program loading [RIPL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
이 출원은 2005년 2월 11일 "Method and Apparatus for Supporting Authentication in a Radio Communication System"이라는 제목으로 출원된 미국 가출원 번호 60/652,235, 2005년 4월 15일 "Method and Apparatus for Bootstrapping in a Radio Communication System"이라는 제목으로 출원된 미국 가출원 번호 60/671,621, 및 2005년 2월 11일 "Using GAA in Legacy CDMA networks"라는 제목으로 출원된 미국 가출원 번호 60/651,620에 대해 35 U.S.C.§119(e) 법조항에 따른 우선권을 주장하며, 그 출원들 전체를 참조의 형태로 포함한다.This application is filed February 11, 2005, entitled "Method and Apparatus for Supporting Authentication in a Radio Communication System," US Provisional Application No. 60 / 652,235, April 15, 2005, entitled "Method and Apparatus for Bootstrapping in a Radio Communication." 35 USC§119 (e) provisions to US Provisional Application No. 60 / 671,621, filed under the title "System," and US Provisional Application No. 60 / 651,620, filed February 11, 2005, entitled "Using GAA in Legacy CDMA networks." Claims priority pursuant to, including the entirety of the applications in the form of references.
본 발명은 통신에 관한 것으로서, 보다 상세하게는 통신 시스템에서 인증 서비스를 제공하는 것에 관한 것이다.The present invention relates to communication, and more particularly, to providing an authentication service in a communication system.
셀룰라 시스템 (가령, 확산 스펙트럼 시스템들 (CDMA (Code division Multiple Access) 네트워크 등)이나 시간 분할 다중화 액세스 (TDMA) 네트워크들) 등의 무선 통신 시스템들은 사용자들에게 풍부한 서비스 및 기능들이 따라다니는 이동성이라는 편리함을 제공한다. 이러한 편리함이, 지금까지 계속 증가하고 있는 소비자들에 의한 사업상의 용도와 개인 용도를 위한 통신의 한 인정된 모드로서의 의미있는 채택을 야기하였다. 더 많은 채택을 촉진하기 위해, 통신업계는 제조자들부터 서비스 제공자들에 이르기까지, 다양한 서비스 및 기능들의 기반이 되는 통신 프로토콜들의 표준들을 수많은 비용과 노력을 들여 개발하는데 동의하고 있다. 그러한 노력의 한 중요한 분야에 인증이 포함된다. 인증은 어떤 통신 시스템에서 적합한 사용자들간, 혹은 어플리케이션들 간에 통신이 설정될 수 있도록 하는데 중요한 역할을 한다. 불행히도, 그러한 표준들의 구현은 다른 프로토콜들의 변경을 요할지 모르며, 이것은 기술적으로 수행 가능하다고 해도 엄청난 비용이 들 수가 있다.Wireless communication systems, such as cellular systems (e.g., spread spectrum systems (CDMA (Code division Multiple Access) networks, etc.) or time division multiplexed access (TDMA) networks), such as the convenience of mobility to the user rich services and functions To provide. This convenience has resulted in a meaningful adoption as a recognized mode of communication for business and personal use by ever-increasing consumers. To facilitate further adoption, the telecommunications industry has agreed to develop the standards of communication protocols that underlie a variety of services and functions, at cost and effort, from manufacturers to service providers. One important area of such efforts involves certification. Authentication plays an important role in ensuring that communication is established between the appropriate users or applications in any communication system. Unfortunately, the implementation of such standards may require modification of other protocols, which can be enormously costly, even if technically feasible.
따라서, 현존하는 표준 프로토콜들의 변경이나 새 프로토콜의 개발을 요하지 않으면서 인증 서비스들을 제공하는 방식이 필요로 된다.Thus, there is a need for a method of providing authentication services without requiring modification of existing standard protocols or development of new protocols.
이러한 필요 및 기타 필요에 대해 본 발명이 착수되어, 통신 시스템에서 초기 인증 (부트스트랩핑, bootstrapping)을 보다 효과적으로 수행하는 방식이 제안된다.With this and other needs, the present invention is undertaken, and a way of performing an initial authentication (boottrapping) in a communication system more effectively is proposed.
본 발명의 실시예들 중 한 양태에 따르면, 한 인증 방법은, 키 합의 프로토콜 (key agreement protocol)에 따라 통신 네트워크 내 단말과 키를 설정하는 방법을 포함하며, 상기 단말은 확산 스펙트럼을 이용해 동작하도록 구성된다. 이 방법은 또한 합의된 키를 한 인증 절차에 엮어 키의 재사용을 지원하는 보안 연계를 제공하도록 하는 단계 역시 포함한다. 또, 이 방법은 합의된 키에 기초해 마스터 키를 생성하는 단계를 포함한다.According to one aspect of embodiments of the present invention, an authentication method includes a method for setting a key with a terminal in a communication network according to a key agreement protocol, wherein the terminal is configured to operate using spread spectrum. It is composed. The method also includes linking the agreed-upon key to one authentication procedure to provide a security association that supports key reuse. The method also includes generating a master key based on the agreed key.
본 발명의 일실시예에 의한 다른 양태에 따르면, 한 인증 방법은, 키 합의 프로토콜에 따라 통신 네트워크 내 한 네트워크 요소와 공유 키를 설정하는 단계를 포함하며, 상기 네트워크 요소는 합의된 키를 한 인증 절차에 엮어 키 재사용을 지원하는 보안 연계를 제공하도록 하는 단계를 포함한다. 또 이 방법은 합의된 키에 기반해 마스터 키를 생성하는 단계도 포함한다.According to another aspect of an embodiment of the present invention, an authentication method includes establishing a shared key with a network element in a communication network according to a key agreement protocol, wherein the network element authenticates with an agreed key. Intertwined with the procedure to provide a security association that supports key reuse. The method also includes generating a master key based on the agreed upon key.
본 발명의 일실시예에 의한 다른 양태에 따르면, 한 인증 장치는, 키 합의 프로토콜에 따라 통신 네트워크 내 네트워크 요소와 공유 키를 설정하도록 구성된 인증 모듈을 포함하며, 상기 네트워크 요소는 합의된 키를 한 인증 절차에 엮어, 키 재사용을 지원하는 보안 연계를 제공하도록 구성되고, 상기 인증 모듈은 합의된 키에 기초하여 마스터 키를 생성하도록 더 구성된다.According to another aspect of an embodiment of the present invention, an authentication apparatus includes an authentication module configured to set a shared key with a network element in a communication network according to a key agreement protocol, the network element having an agreed key. In conjunction with the authentication procedure, it is configured to provide a security association that supports key reuse, and the authentication module is further configured to generate a master key based on the agreed upon key.
본 발명의 일실시예에 의한 또 다른 양태에 따르면, 한 인증 방법은 부트스트랩핑을 수행하도록 구성된 네트워크 요소와의 통신을 인증하기 위한 메시지를 생성하는 단계를 포함한다. 이 방법은 또, 암호화된 비밀 키 함수에 대한 메시지의 패스워드 필드를 설정하는 단계; 및 메시지의 페이로드 안에 키 설정 정보를 특정하는 단계를 포함하고, 상기 메시지는 데이터 네트워크를 통해 정보를 액세스하기위한 전송 프로토콜에 따라 전송된다.According to yet another aspect of an embodiment of the present invention, an authentication method includes generating a message for authenticating communication with a network element configured to perform bootstrapping. The method also includes setting a password field of the message for the encrypted secret key function; And specifying keying information in the payload of the message, wherein the message is transmitted according to a transport protocol for accessing information over the data network.
본 발명의 일실시예에 의한 다른 양태에 따르면, 한 인증 방법은, 데이터 네트워크를 통해 정보를 액세스하기 위한 전송 프로토콜에 따라 단말로부터 메시지를 수신하는 단계, 인증을 요청하는 단계를 포함하고, 상기 메시지는 비밀 키의 함수인 패스워드 필드와, 다른 비밀 키를 결정하기 위해 파라미터들을 특정하는 키 설정 정보를 포함하는 페이로드를 포함한다. 이 방법은 비밀 키에 기반하여 마스터 키를 생성하는 단계 또한 포함한다.According to another aspect of an embodiment of the present invention, an authentication method includes receiving a message from a terminal according to a transport protocol for accessing information through a data network, requesting authentication, and including the message. Includes a password field that is a function of a secret key and a keyload that includes key setting information specifying parameters to determine another secret key. The method also includes generating a master key based on the secret key.
본 발명의 일실시예에 의한 다른 양태에 따르면, 인증을 위한 장치가, 부트스트랩핑을 수행하도록 구성된 네트워크 요소와의 통신을 인증하기 위한 메시지를 생성하고, 비밀 키의 함수가 될 메시지의 패스워드 필드를 세팅하도록 설정되는 인증 모듈을 포함한다. 메시지는 새 키 설정 정보를 포함하는 페이로드를 구비한다. 이 메시지는 데이터 네트워크를 통해 정보를 액세스하기 위한 전송 프로토콜에 따라 전송된다.According to another aspect of an embodiment of the present invention, an apparatus for authentication generates a message for authenticating communication with a network element configured to perform bootstrapping, and a password field of a message to be a function of a secret key. It includes an authentication module that is set to set the. The message has a payload containing the new key setting information. This message is sent according to a transport protocol for accessing information over the data network.
본 발명의 일실시예에 대한인 다른 양태에 따르면, 인증 방법이 한 단말로부터 사용자 아이디 (identity)를 특정하는 인증 요청을 수신하는 단계를 포함한다. 이 방법은 또, 그러한 사용자 아이디에 기초해 랜덤 비밀 데이터, 및 한 암호화 알고리즘에 따라 랜덤 비밀 데이터에서 생성된 한 비밀 데이터를 포함하는 암호화 파라미터들을 생성하도록 구성된 위치확인 레지스터로, 그 사용자 아이디를 전송하는 단계 또한 포함한다. 부가하여, 이 방법은 위치확인 레지스터로부터 생성된 암호화 파라미터들을 수신하는 단계를 포함한다. 또 이 방법은 암호화 파라미터들을, 인증 토큰 및 인증 응답을 포함하는 키 파라미터들로 변환하여 인증 벡터를 생성하는 단계 및 그 인증 토큰을, 인증 벡터를 출력하도록 설정된 단말로 전송하는 단계도 포함한다. 또한, 이 방법은 인증 벡터로부터의 인증 응답을 이용해 단말로부터의 인증 응답을 비준하는 단계; 및 키 파라미터들에 기반해 마스터 키를 생성하는 단계를 포함한다.According to another aspect, which is for an embodiment of the present invention, an authentication method includes receiving an authentication request specifying a user identity from a terminal. The method also transmits the user ID to a positioning register configured to generate encryption parameters including random secret data based on such user ID, and one secret data generated from the random secret data according to an encryption algorithm. It also includes a step. In addition, the method includes receiving encryption parameters generated from the location register. The method also includes converting encryption parameters into key parameters including an authentication token and an authentication response to generate an authentication vector and transmitting the authentication token to a terminal configured to output the authentication vector. The method also includes ratifying an authentication response from the terminal using the authentication response from the authentication vector; And generating a master key based on the key parameters.
본 발명의 일실시예에 의한 다른 양태에 따르면, 인증 방법은, 사용자 아이디를 특정하는 인증 요청을 생성하는 단계를 포함한다. 이 방법은, 부트스트래핑을 제공하도록 구성된 네트워크 요소에 그 인증 요청을 전송하는 단계 역시 포함하며, 상기 네트워크 요소는 사용자 아이디에 기초해 랜덤 비밀 데이터 및, 암호화 알고리즘에 따라 그 랜덤 비밀 데이터로부터 생성된 비밀 데이터를 포함하는 암호화 파라미터들을 생성하도록 구성된 위치확인 레지스터로 사용자 아이디를 전송한다. 네트워크 요소는 그 암호화 파라미터들을, 인증 토큰 및 인증 응답을 포함하는 키 파라미터들로 변환하여 인증 벡터를 생성한다. 부가하여, 이 방법은 네트워크 요소로부터 인증 토큰을 수신하는 단계; 및 인증 토큰에 기초해 인증 응답을 출력하는 단계를 포함한다. 또한 이 방법은 인증 응답을 이용해 다이제스트 (digest) 응답을 결정하는 단계; 그 다이제스트 응답을 비준을 위해 네트워크 요소로 전송하는 단계; 및 키 파라미터들에 기초해 마스터 키를 생성하는 단계를 포함한다.According to another aspect according to an embodiment of the present invention, the authentication method includes generating an authentication request specifying a user ID. The method also includes sending the authentication request to a network element configured to provide bootstrapping, wherein the network element is based on a user ID and a secret generated from the random secret data according to an encryption algorithm. Send the user ID to a location register configured to generate encryption parameters containing the data. The network element converts its encryption parameters into key parameters including an authentication token and an authentication response to generate an authentication vector. In addition, the method includes receiving an authentication token from a network element; And outputting an authentication response based on the authentication token. The method also includes determining a digest response using the authentication response; Sending the digest response to the network element for ratification; And generating a master key based on the key parameters.
본 발명의 일실시예에 의한 또 다른 양태에 따르면, 장치가 사용자 아이디를 특정하는 인증 요청을 생성하도록 구성된 인증 모듈을 포함한다. 이 장치는 또, 부트스트래핑을 제공하도록 구성된 네트워크 요소로 그 인증 요청을 전송하도록 구성된 트랜시버를 포함하며, 상기 네트워크 요소는 사용자 아이디를, 그 사용자 아이디에 기반해 랜덤 비밀 데이터 및, 암호화 알고리즘에 따라 그 랜덤 비밀 데이터로부터 생성된 비밀 데이터를 포함하는 암호화 파라미터들을 생성하도록 구성된 위치확인 레지스터로 전송한다. 네트워크 요소는 그 암호화 파라미터들을 인증 토큰 및 인증 응답을 포함하는 키 파라미터들로 변환함으로써 인증 벡터를 생성한다. 트랜시버는 네트워크 요소로부터 인증 토큰을 수신하도록 더 구성되고, 인증 모듈이 그 인증 토큰에 기초해 인증 벡터를 출력하도록 더 구성되어, 인증 응답을 이용한 다이제스트 응답을 결정하고, 네트워크 요소에 의한 다이제스트 응답의 비준 시 키 파라미터들에 기초해 마스터 키를 생성하도록 된다.According to yet another aspect of an embodiment of the present invention, an apparatus includes an authentication module configured to generate an authentication request specifying a user ID. The apparatus also includes a transceiver configured to send the authentication request to a network element configured to provide bootstrapping, the network element being configured to store a user ID based on the user ID in accordance with random secret data and an encryption algorithm. Send to a positioning register configured to generate encryption parameters including secret data generated from the random secret data. The network element generates an authentication vector by converting its encryption parameters into key parameters including an authentication token and an authentication response. The transceiver is further configured to receive an authentication token from the network element, and the authentication module is further configured to output an authentication vector based on the authentication token to determine the digest response using the authentication response and to validate the digest response by the network element. Generate a master key based on the time key parameters.
본 발명의 또 다른 양태들, 특징들, 및 이점들에 대해서는 본 발명을 실시하기 위해 고려된 최선의 모드를 포함하는 다수의 특정 실시예들 및 구성예들을 간단히 예시함으로써 이하의 상세 설명으로부터 자명해 질 것이다. 본 발명은 또한 다른 상이한 실시예들도 가능하며, 그 여러 가지 세부내용들은 다양하고도 분명한 부분들에서 변경될 수 있다. 따라서, 도면과 그 설명은 당연히 한정적인 것으로서가 아닌 예시적인 것으로서 간주 되어야 한다.Further aspects, features, and advantages of the present invention will become apparent from the following detailed description by simply illustrating a number of specific embodiments and configurations, including the best mode contemplated for carrying out the invention. Will lose. The invention is also capable of other different embodiments, the various details of which can be varied in various and obvious ways. Accordingly, the drawings and descriptions are to be regarded as illustrative in nature and not as restrictive.
본 발명은 한정하는 것이 아닌 예로서 첨부된 도면들의 구성을 통해 예시되며, 도면들 안에서 동일한 참조 부호들은 유사한 구성요소들을 의미한다:The present invention is illustrated by way of example and not by way of limitation, with reference to the accompanying drawings, in which like reference numerals refer to like elements:
도 1은 본 발명의 다양한 실시예들에 따른, 일반 인증 구조 (GAA)를 지원하는 무선 통신 시스템의 다이어그램이다;1 is a diagram of a wireless communication system supporting General Authentication Architecture (GAA), in accordance with various embodiments of the present invention;
도 2는 도 1의 시스템에서 사용되는 전형적인 부트스트래핑 절차의 다이어그램이다;2 is a diagram of an exemplary bootstrapping procedure used in the system of FIG. 1;
도 3은 본 발명의 일실시예에 따라, 시험 핸드셰이크 인증 프로토콜 (CHAP) 신청과 함께 익명의 전송 계층 보안 (TLS)을 활용하는 부트스트래핑 절차의 다이어그램이다;3 is a diagram of a bootstrapping procedure utilizing an anonymous Transport Layer Security (TLS) with a Test Handshake Authentication Protocol (CHAP) application, in accordance with an embodiment of the present invention;
도 4는 본 발명의 일실시예에 따라, CHAP 신청과 함께 서버 인증 TLS를 이용하는 부트스트래핑 절차의 다이어그램이다;4 is a diagram of a bootstrapping procedure using server authentication TLS with a CHAP request, in accordance with an embodiment of the present invention;
도 5 및 6은 본 발명의 여러 실시예들에 따라, 키 교환 파라미터들을 지원하는 부트스트래핑 절차들의 다이어그램들이다;5 and 6 are diagrams of bootstrapping procedures supporting key exchange parameters, in accordance with various embodiments of the present invention;
도 7 및 8은 본 발명의 여러 실시예들에 따라, 패스워드들의 해시에 의해 커버되는 키 교환 파라미터들을 지원하는 부트스트래핑 절차들의 다이어그램들이다;7 and 8 are diagrams of bootstrapping procedures that support key exchange parameters covered by a hash of passwords, in accordance with various embodiments of the present invention;
도 9는 본 발명의 실시예에 따라, 한 공유 비밀 데이터 (SSD)와 함께 셀룰라 인증 및 보이스 암호화 (CAVE)를 활용하는 부트스트래핑의 다이어그램이다;9 is a diagram of bootstrapping utilizing cellular authentication and voice encryption (CAVE) with one shared secret data (SSD), in accordance with an embodiment of the present invention;
도 10a 및 10b는 본 발명의 실시예에 따라, 다수의 SSD들과 함께 CAVE를 이용하는 부트스트래핑 절차의 다이어그램들이다;10A and 10B are diagrams of a bootstrapping procedure using CAVE with multiple SSDs, in accordance with an embodiment of the present invention;
도 11은 본 발명의 실시예에 따라 HTTP 다이제스트 인증 및 키 합의 프로토콜 (AKA)과 함께 CAVE를 활용하는 부트스트래핑의 다이어그램이다;11 is a diagram of bootstrapping utilizing CAVE with HTTP Digest Authentication and Key Agreement Protocol (AKA) in accordance with an embodiment of the present invention;
도 12는 본 발명의 여러 실시예들을 구현하는데 사용될 수 있는 하드웨어의 다이어그램이다;12 is a diagram of hardware that may be used to implement various embodiments of the present invention;
도 13a 및 13b는 본 발명의 여러 실시예들을 지원할 수 있는 서로 다른 셀룰라 모바일 폰 시스템들의 다이어그램들이다;13A and 13B are diagrams of different cellular mobile phone systems that can support various embodiments of the present invention;
도 14는 본 발명의 실시예에 따라, 도 13a 및 13b의 시스템에서 작동할 수 있는 모바일 스테이션의 전형적 구성요소들에 대한 다이어그램이다;14 is a diagram of typical components of a mobile station capable of operating in the systems of FIGS. 13A and 13B, in accordance with an embodiment of the invention;
도 15는 본 발명의 실시예에 따라, 여기 개시된 프로세스들을 지원할 수 있는 기업 네트워크의 다이어그램이다.15 is a diagram of an enterprise network capable of supporting the processes disclosed herein, in accordance with an embodiment of the invention.
통신 시스템에 있어서, 부트스트래핑 (bootstraping)을 제공하기 위한 장치, 방법, 및 소프트웨어에 대해 설명할 것이다. 이하의 기재에서는, 설명의 목적으로, 수많은 특정 세부내용들이 기술되어 본 발명을 철저한 이해를 도울 것이다. 그러나, 이 기술분야의 당업자라면 그러한 세부내용들 없이 그와 등가적인 구성을 가지고도 본 발명이 실시될 수 있다는 것은 자명한 일일 것이다. 다른 경우들에서, 잘 알려진 구조들 및 장치들은 불필요하게 본 발명을 모호하게 만들지 않도록 블록도의 형태로서 보여질 것이다.In a communication system, an apparatus, method, and software for providing bootstrapping will be described. In the following description, for purposes of explanation, numerous specific details are set forth in order to provide a thorough understanding of the present invention. However, it will be apparent to one skilled in the art that the present invention may be practiced with equivalent construction without such details. In other instances, well known structures and devices will be shown in block diagram form in order not to unnecessarily obscure the present invention.
도 1은 본 발명의 다양한 실시예들에 따른 포괄 인증 구조 (GAA, Generic Authentication Architecture)를 지원하기 위한 무선 통신 시스템의 다이어그램이다. 본 발명이 확산 스펙트럼 기술을 이용하는 무선 통신 시스템에 대해 논의하고는 있지만, 이 분야의 당업자라면 본 발명의 다양한 양태들이 유무선 시스템들을 포함하는 어떤 종류의 전송 네트워크에 대해서라도 응용 가능하다는 것을 인지할 것이다. 또, 본 발명의 여러 실시예들은 디피-헬만 (Diffie-Hellman) 및 하이퍼텍스트 전송 프로토콜 (HTTP; HyperText Transfer Protocol)과 관련해 기재되고 있으나; 자원들에 대한 표현 전송을 지원하는 등가적인 다른 키 교환 프로토콜들 및 통신 프로토콜들이 본 발명을 실시하는데 사용될 수 있다는 것을 예상할 수 있다.1 is a diagram of a wireless communication system for supporting a generic authentication architecture (GAA) according to various embodiments of the present invention. Although the present invention discusses wireless communication systems using spread spectrum technology, those skilled in the art will recognize that various aspects of the present invention are applicable to any kind of transmission network including wired and wireless systems. In addition, several embodiments of the present invention have been described with reference to Diffie-Hellman and HyperText Transfer Protocol (HTTP); It is envisioned that other equivalent key exchange protocols and communication protocols that support the presentation of resources to resources may be used to practice the present invention.
제3세대 프로젝트 협력 (3GPP) 포괄 인증 구조 (GAA)의 초기 인증 (즉, 부트 스트래핑)은 AKA (Authentication and Key Agreement Protocol; 인증 및 키 협의 프로토콜)에 기반한다. 통상적으로, CDMA2000 (Code Division Multiple Access 2000) 네트워크들에서의 인증은 CAVE (Cellular Authentication and Voice Encaryption, 셀룰라 인증 및 보이스 암호화) 알고리즘에 기초하며, CDMA 1x EvDo (Evolution Data only)는 CHAP (Challenge Handshake Authentication Protocol)에 기초한다. CDMA 네트워크들 (가령, CDMA 2000 1x 개정 (Revision) C 및 후속 개정안들)에 대하여, 제3세대 프로젝트 협력 2 (3GPP2)에 의해 AKA가 채택되고 있다.Initial authentication (ie, bootstrapping) of the Third Generation Project Collaboration (3GPP) Comprehensive Authentication Architecture (GAA) is based on the Authentication and Key Agreement Protocol (AKA). Typically, authentication in Code Division Multiple Access 2000 (CDMA2000) networks is based on the CAVE (Cellular Authentication and Voice Encaryption) algorithm, and CDMA 1x Evolution Data only (EvDo) is a CHAP (Challenge Handshake Authentication). Protocol). For CDMA networks (eg, CDMA 2000 1x Revision C and subsequent amendments), AKA is being adopted by the Third Generation Project Cooperation 2 (3GPP2).
통신 시스템(100)은 하나 이상의 베이스 스테이션 트랜시버 서브시스템들 (BTS들)(103)과 통신하도록 구성된 하나 이상의 모바일 스테이션들 (MS들)(101)을 포함한다. BTS들(103)은, 부트스트래핑 서버 기능 (BSF, Bootstraping Server Functin)(107)을 제공할 수 있는 네트워크 요소와 협력하는 베이스 스테이션 컨트롤러 (BSC)(105)에 의해 서비스된다. 시스템(100)은 패킷 데이터 서빙 노드 (PDSN, Packet Data Serving Node)(111)와 통신하는, 모바일 노드 인증, 인증 및 회계 서비스 (MN-AAA)(109) 역시 포함하다.
일실시예에 따르면, 시스템(100)은 CDMA Ev-Do 네트워크들 내에서 3GPP 포괄 인증 구조 기능을 제공한다. 특히, 부트스트래핑 메커니즘은, MS(101) 및 BSF(107) 사이의 GAA 마스터 비밀 (master secret) 설정을 필요로 한다. 이 마스터 비밀은, 한 전형적 실시예에서, CHAP (Challenge Handshake Authentication Protocol) 기반 인증 절차에 엮이게 된다. 본 발명의 일실시예에 따르면, 그러한 한 키 협의 (즉, 키 교환) 방법이 디피-헬만 (Diffie-Hellman)이다. 이 방법은 여 기 그 전체가 참조형태로서 포함되는 IETF (Internet Engineering Task Force) RFC (Request For Comment) 2631에 더 기술되어 있다.According to one embodiment,
예를 들어 CDMA 1x EvDo 네트워크에서, MS(101)는 IETF RFC 1994 (전체가 여기 참조형태로서 포함됨)에 특정되어 있는 CHAP를 이용해 인증된다. 정의된 CHAP 절차에서, 네트워크 요소 PDSN(111)이 MS(101)로 한 과제 (challenge)를 보내고, MS는 수신된 과제 및 MS(101)에 저장되어 있는 가입자 고유 비밀에 기초해 응답을 산출한다. 이 응답이 가입자 아이디와 함께 PDSN(111)으로 다시 보내진다. PDSN(111)은 수신한 응답 및 아이디를, PDSN(111)이 일찍이 MN(101)으로 보냈던 과제와 함께 MN-AAA(109)로 전달한다.For example, in a CDMA 1x EvDo network, the
MN-AAA(109)는 아이디를 이용해 가입자 고유 비밀을 위치확인하고 MS(101)에 으해 전송된 응답이 MN-AAA(109)가 산출했던 응답의 값과 동일한지를 검증한다. 이러한 검증의 결과에 따라, MN-AAA(109)는 PDSN(111)으로 성공 혹은 실패 알림을 리턴한다. PDSN(111)이 성공 메시지를 수신하면, MS(101)는 성공적으로 인증된 것이다.The MN-
CDMA 1x EvDo 네트워크에서 사용되는 인증 절차는 GAA에 대해서는 바로 사용될 수 없다는 것을 알아야 하는데, 이는 비밀이 MS와 MN-AAA에 의해서만 알려져 있기 때문이다 (GAA의 홈 가입자 시스템 (HSS)과 유사). 따라서, 부트스트래핑 서버 기능 (BSF) (PDSN처럼 동작함)은 이러한 CHAP 비밀로부터 GAA 마스터 키를 도출할 수가 없는데, 이는 MN_AAA (GAA 구조의 홈 가입자 시스템 (HSS)와 유사)가 이러한 비밀을 제공하지 않기 때문이다.It should be noted that the authentication procedure used in the CDMA 1x EvDo network cannot be used directly for the GAA because the secret is only known by the MS and the MN-AAA (similar to the GAA's home subscriber system (HSS)). Thus, the Bootstrapping Server Function (BSF) (which acts like a PDSN) cannot derive a GAA master key from this CHAP secret, which is not provided by MN_AAA (similar to the home subscriber system (HSS) of the GAA structure). Because it does not.
전형적인 한 실시예에 따르면, MS(101) 및 BSF(107) 사이에서 키가 협의된 다음, BSF(107)는 그 키 협의 절차로부터 CHAP 과제를 도출함으로써 키 협의 절차를 CHAP 인증에 결부되게 한다. 본 발명의 다양한 실시예들에 따르면 키 협의 절차를 CHAP에 결부하기 위해 여러 가지 방식들이 활용될 수 있다. 우선, BSF(107)가 협의된 키로부터 과제를 도출할 것이다. 둘째, BSF(107)는, BSF(107)와 MS(101) 사이에 전송되었던 키 협의 메시지들로부터도 과제를 도출한다. 셋째, 가령, 전송 계층 보안 (TLS, Transport Layer Security) 핸드셰이크 중에 디피-헬만 키 협의가 수행되었다면, 종료된 메시지 (Finished message)가 과제를 도출하는데 사용될 수 있는데, 이는 종료된 메시지에 이미 TLS 핸드셰이크 메시지들의 메시지 인증 코드 (MAC)가 포함되기 때문이다.According to one exemplary embodiment, after a key is negotiated between the
MS(101)가 CHAP 과제를 수신할 때, MS(101)는 중간자 공격 (mand-in-the-middle attack)을 방지하기 위해, 그 과제가 실제로 키 합의 절차로부터 도출된 것인가를 검증한다. 그런 다음 MS(101)는 CHAP 응답을 산출하여 그 응답을 다시 BSF(107)로 보내고, BSF(107)는 다시 MN-AAA(109)와 함께 그 응답을 검증한다. MN_AAA(109)가 CHAP 응답이 바른 것임을 나타내면, BSF(107)는 MS(101)를 인증하며, GAA 메시지 비밀이 설정된다. GAA 마스터 비밀은 합의된 키 자체이거나, 그 키로부터 추가 도출된 것일 수 있다.When the
이와 택일적으로, MS(101) 및 BSF(107) 사이에 비밀을 설정하기 위해, 본 발명의 일실시예에 따른 다른 한 방식은 BSF가 서버 인증서(certificate)를 이용해 인증되는 서버 인증 전송 계층 보안 (TLS)을 활용한다. 이 경우, CHAP 과제가 위 에서처럼 마스터 비밀에 결부될 필요가 없는 바, 이는 이미 BSF(107)가 인증되어 있기 때문이다. 이런 경우들에서 (오리지널 포인트-투-포인트 프로토콜 (PPP) CHAP 인증 및 상기 기술된 GAA 관련 절차들 둘 모두), MS(101)는 서버 (즉, PDSN(111) 또는 BSF(107))가 인증되지 않았다면 CHAP 과제에 대해 응답하지 않는데; 그렇게 하지 않으면 중간자 공격의 가능성이 있게 된다.Alternatively, in order to establish a secret between the
일실시예에 따른 본 발명은 MS(101) 및 네트워크 서버(BSF 107) 사이에서의 마스터 비밀에 대해 합의하기 위한 메커니즘을 제공하며, 이 메커니즘은 백엔드 (backend) 서버 (가령, MN-AAA 109)에 대한 MS(101)의 인증에 결부되어 있다. 이 방식은 백엔드 서버가 변경되지 않으면서 표준화된 프로토콜들을 활용하게 하는데 바람직하게 수행될 수 있다.In accordance with one embodiment, the present invention provides a mechanism for agreeing on a master secret between an
종래의 방식들은 결과적 보안 제휴가 GAA에서 수행되는 것처럼 여러 서버들과 함께 재사용될 수 있도록 CHAP 인증으로부터 부트스트래핑을 지원하지 못한다. 그러한 한 기술이 DH-CHAP (Diffie-Hellman-Challenge Handshake Authentication Protocol)이며, 이것은 CHAP 발의자와 응답자 사이의 CHAP 프로토콜 메시지들에 새 정보 요소들을 부가함으로써 (즉, CHAP 변경을 요구함) CHAP 인증을 디피-헬만 키 합의에 결부하는 특정 메커니즘을 기술한다.Conventional approaches do not support bootstrapping from CHAP authentication so that the resulting security association can be reused with multiple servers as is done in GAA. One such technique is Diffie-Hellman-Challenge Handshake Authentication Protocol (DH-CHAP), which avoids CHAP authentication by adding new information elements to CHAP protocol messages between the CHAP initiator and responder (ie requiring CHAP change). Describe the specific mechanisms involved in the Hellman key agreement.
한 전형적 실시예에서, CDMA 1x EvDo 네트워크의 오리지널 PPP CHAP 인증 절차는 인증되지 않은 서버가 MS(101)로 CHAP 과제를 전송하고 그 응답을 수신하는 것을 방지하는 메커니즘을 포함한다는 것이 전제된다. 이러한 메커니즘이 없으면, 공격자가 MS(101)라고 행세하여 BSF(107)와 통신을 개시하는 중간자 공격의 가능성 이 있게 된다. 공격자가 BSF(107)로부터 과제를 수신할 때, 공격자는 그 과제를 실제 MS(101)로 전달할 수 있고, 그에 따라 PDSN(111)이라고 행세할 수 있게 된다. MS(101)는 응답을 산출해 그것을 공격자에게 다시 보낼 것이고, 그러면 공격자는 그것을 BSF(107)로 보낼 것이다. 이것이 성공하게 되면, 공격자는 부트스트래핑 세션을 성공적으로 생성한 것이고, 임의의 네트워크 어플리케이션 기능 (NAF, Network Application Function)과도 GAA 신용증명을 이용할 수 있다.In one exemplary embodiment, it is assumed that the original PPP CHAP authentication procedure of the CDMA 1x EvDo network includes a mechanism to prevent an unauthorized server from sending a CHAP task to the
도 2는 도 1의 시스템에서 활용되는 전형적인 부트스트래핑 절차의 다이어그램이다. 설명의 목적으로 한 사용자 장치 (UE) 만이 도시되고 있지만, 보통은 여러 UE들이 사용된다는 것을 알아야 한다. UE들은 모바일 장치들 (가령, 모바일 전화), 모바일 스테이션들, 그리고 모바일 통신 장치들이라고도 언급될 수 있다. UE는 또한 트랜시버 기능을 가진 개인용 디지털 보조기기 (PDA)나 트랜시버 기능을 가진 퍼스널 컴퓨터 같은 장치일 수도 있다.2 is a diagram of an exemplary bootstrapping procedure utilized in the system of FIG. Although only one user equipment (UE) is shown for illustrative purposes, it should be noted that usually several UEs are used. UEs may also be referred to as mobile devices (eg, mobile phones), mobile stations, and mobile communication devices. The UE may also be a device such as a personal digital assistant (PDA) with a transceiver function or a personal computer with a transceiver function.
201 단계에서, MS(101) 같은 UE가 BSF(107)로 HTTP 다이제스트 메시지, GET/HTTP/1.1 Authorization: Digest username="<IMPI>"를 보낸다. 그에 응하여, BSF(107)는 203 단계에서, 401 Unauthorized message (비인가 메시지)를 보낸다. 다음, 205 단계에서, UE가 공유된 정보를 사용해 산출된 한 부분을 공유 패스워드로서 포함하는 메시지 (가령, response="<RES used as pwd>")를 다시 BSF(107)로 보낸다. 그런 다음, BSF(107)는 207 단계에서, 부트스트래핑 정보를 특정하는 200 OK 메시지를 제공한다. In
부트스트래핑 절차 후에, MS(101) (가령, UE) 및 BSF(107)는 둘 다 키 자료 (Ks), 부트스트래핑 트랜잭션 식별자 (B-TID), 키 자료 수명에 대해 합의하게 되었다. 부트스트래핑 절차 뒤에, 키 자료 (Ks)는 다른 서버들과 함께 사용될 수 있는 추가 어플리케이션 서버 고유 키 자료들 (Ks_NAF들)을 도출하는데 사용될 수 있다. Ks_NAF 및 B-TID는 Ua 인터페이스에 사용되어 UE와 어플리케이션 서버 사이의 트래픽을 수동적으로 인증하고 옵션으로서 안전하게 할 수 있다 (즉, 네트워크 어플리케이션 기능 (NAF)). 예로서, Ks는 256b GAA 공유 비밀이다 (3GPP GAA에서 Ks=CK∥IK). NAF는 사용자 인증을 위해 GAA를 이용하는 어플리케이션 서버일 수 있다.After the bootstrapping procedure, the MS 101 (eg, UE) and the
부트스트래핑 절차 (즉, Ub 인터페이스)는 "Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (포괄 인증 구조 (GAA); 포괄 부트스트래핑 구조)"라는 제목의 3GPP TS 33.220 및, TS 24.109, "Bootstrapping Interface (Ub) and Network Application Function Interface (Ua); Protocol Details (부트스트래핑 인터페이스 (Ub) 및 네트워크 어플리케이션 기능 인터페이스 (Ua); 프로토콜 세부사항들)"에 정의되어 있으며, 위의 참고문헌 전부가 이 명세서에서 참조의 형태로 포함된다.The bootstrapping procedure (i.e., Ub interface) is described in 3GPP TS 33.220, entitled "Generic Authentication Architecture (GAA); Generic Bootstrapping Architecture (GAA); Generic Bootstrapping Architecture), and TS 24.109," Bootstrapping Interface ( Ub) and Network Application Function Interface (Ua); Protocol Details (Bootstrapping Interface (Ub) and Network Application Function Interface (Ua); Protocol Details) ", all of which are incorporated herein by reference. Included in the form of.
도 3은 본 발명의 일실시예에 따른, CHAP 과제와 익명의 TLS를 활용하는 부트스트래핑 절차의 다이어그램이다. 이 시나리오 하에서, 기준 포인트들인 Ub 및 Zh가 개입되고, 그로 인해 Ub는 MS(101)와 BSF(107) 사이의 상호 인증을 제공하고, Zh는 BSF(107)와 MN-AAA(109) 사이에서 인증 정보의 교환을 지원한다. 논의한 바와 같이, 전통적으로 BSF(107)는 CHAP 비밀에 대한 지식을 가지지 않는데, 이는 MS(101)와 MN-AAA(109) 만이 그러한 정보를 소유하기 때문이다. PDSN(111)은 단지 CHAP 과제를 MN-AAA(109)로 보내고, MN-AAA(109)는 CHAP 과제 및 CHAP 비밀을 이용해 계산된 CHAP-응답 및 아이디를 리턴한다. MN-AAA(109)는 CHAP 응답을 체크하여, 성공인지 실패인지를 판단할 수 있다. 따라서, MS(101) 및 BSF(107) 사이의 GAA 비밀에 대한 협의는 다른 수단을 통해 도달되어야 한다. 본 발명의 일실시예에서, GAA 비밀은 인증되지 않은 키 협의 절차를 이용해 설정되며, CHAP 인증은 GAA 비밀로부터 CHAP 과제를 도출함으로써 GAA 비밀에 결부되고, MS(101)는 GAA 비밀이 CHAP 과제를 도출하는데 사용되었음을 체크한다.3 is a diagram of a bootstrapping procedure utilizing CHAP tasks and anonymous TLS in accordance with an embodiment of the present invention. Under this scenario, reference points Ub and Zh are involved, whereby Ub provides mutual authentication between the
이 예에서, MS(101)는 CHAP 프로토콜을 실행할 보안 (SEC) 모듈과, GAA 기능들을 지원할 GAA 모듈을 포함한다. 301 단계에서, MS(101)는 BSF(107)와 GAA 비밀 ("키"로 칭함)을 설정하기 위해, 디피-헬만 같은 키 교환 알고리즘을 가지는 익명의 TLS를 이용한다. 그러면 CHAP는 TLS 터널 안에서 작동될 수 있다. 그에 따라, 303 단계에서, BSF(107)이 합의된 키로부터 CHAP 과제를 생성한다: Challenge=KDF (key, "chap-challenge"). 키 도출 함수 (KDF)는, 한 전형적 실시예에서, GAA에 의해 제공된다.In this example,
GAA (TS 33.220)에 의한, 포괄 키 도출 기능이 지금부터 설명된다. 먼저, 입력 파라미터들과 관련 길이들을 다음과 같이 연결하여 (concatenating) 스트링 S가 생성된다. (옥텟(octet) 단위의) 각 입력 파라미터의 길이가 2-옥텟 스트링으로 인코딩된다. 옥텟들의 개수는 입력 파라미터 Pi에 있어서 [0, 65535] 범위에 든 넘버 k로 표현된다. Li는 넘버 k의 2-옥텟 표현이며, Li의 첫 번째 옥텟의 최상위 비트는 k의 최상위 비트와 일치하고, Li의 두 번째 옥텟의 최하위 비트는 k의 최하위 비트와 일치한다.The comprehensive key derivation function, by GAA (TS 33.220), is now described. First, a string S is generated by concatenating the input parameters and their associated lengths as follows. The length of each input parameter (in octets) is encoded as a 2-octet string. The number of octets is represented by the number k in the range [0, 65535] for the input parameter Pi. Li is a 2-octet representation of the number k, where the most significant bit of the first octet of Li matches the most significant bit of k, and the least significant bit of the second octet of Li matches the least significant bit of k.
스트링 S는 다음과 같이 n 개의 입력 파라미터들로부터 생성된다:The string S is generated from n input parameters as follows:
S=FC∥P0∥L0∥P1∥L1∥P2∥L2∥P3∥L3∥...∥Pn∥LnS = FC ∥ P0 ∥ L0 ∥ P1 ∥ L1 ∥ P2 ∥ L2 ∥ P3 ∥ L3 ∥ ∥ Pn ∥ Ln
이때,At this time,
FC는 알고리즘의 서로 다른 경우들을 구별하기 위해 사용되는 단일 옥텍히고,FC is a single octet that is used to distinguish different cases of the algorithm,
P0는 정적 (static) ASCII 인코딩된 스트링이며,P0 is a static ASCII encoded string,
L0는 P0의 길이에 대한 2 옥텟 표현이고,L0 is a two octet representation of the length of P0,
P1...Pn은 n 개의 입력 파라미터들이고,P1 ... Pn are n input parameters
L1...Ln은 해당 입력 파라미터들의 2-옥텟 표현들이다.L1 ... Ln are 2-octet representations of the corresponding input parameters.
추출된 키는, 키 Key를 이용해 스트링 S에 대해 계산된 HMAC-SHA-256과 같게 된다: derived key=HMAC-SHA-256 (Key, S).The extracted key is equal to HMAC-SHA-256 calculated for string S using the key Key: derived key = HMAC-SHA-256 (Key, S).
그런 다음 CHAP 과제 메시지는 305 단계에서처럼, BSF(107)에 의해 TLS 터널 안쪽으로 MS(101)의 GAA 모듈로 전송된다. 307 단계에서, GAA 모듈은 수신된 CHAP 과제가 합의된 키로부터 생성되는가를 검증한다. 그러면 CHAP 과제 메시지가 309 단계에 의해 SEC 모듈로 전달된다. 다음으로, SEC 모듈은 311 단계에서처럼 CHAP 응답을 산출하여, 그 응답을 GAA 모듈로 전송한다 (313 단계). MS(101)는 이제 315 단계에서처럼 CHAP 응답을 TLS 터널을 통해 BSF(107)로 전송한다.The CHAP task message is then sent by the
그런 다음, 317 단계에서, BSF(107)는 인증 프로토콜에 따라 MN-AAA(109)로 Request message (요청 메시지) (가령, RADIUS (Remote Authentication Dial In User Service) 액세스-요청 메시지)를 전송한다. RADIUS는 "Remote Authentication Dial In User Service (RADIUS)" (2000년 6월)이라는 제목의 IETF (Internet Engineering Task Force) RFC (Request For Comment) 2865에 상세히 나와 있으며, 그 내용은 여기 참조의 형태로 전체가 포함된다. 요청 메시지는 사용자 (또는 가입자) 아이디, 과제 및 응답을 특정한다. MN-AAA(109)는 319 단계에 의해 그 응답을 체크하고, RADIUS Access-Anser (액세스-대답) 메시지 (아이디 포함)를 BSF(107)로 보낸다 (321 단계). 이때, BSF(107)가 323 단계에서처럼, 사용자의 GBA 사용자 보안 설정들 (GUSS, GBA user security settings)을 가져온다. GUSS는 홈 위치확인 레지스터 (HLR)에 저장된 NAF 고유 사용자 아이디들 및 위임장들과 관련된 GAA 고유 사용자 프로파일 데이터이다. GUSS는 BSF(107) 고유 정보 요소 및 어플리케이션 고유 사용자 보안 설정들 (USS들)을 포함한다. 전형적인 한 실시예에서, USS는 어플리케이션 및 가입자 고유 파라미터를 정의하며; 그 파라미터에는 인증(authentication) 파트와 위임(authorization) 파트가 포함된다. 인증 파트는 어플리케이션과 관련된 사용자 아이디들을 특정하며, 위임 파트는 사용자 허락들을 규정한다.Then, in
또, BSF(107)는 GAA 마스터 키를세팅하고 (Ks=key), 다양한 부트스트래핑 파라미터들 (가령, 부트스트래핑 트래잭션 식별자 (B-TID), 키 자료 수명 등등)을 생성하고 MN-AAA(109)로부터의 데이터를 저장한다 (325 단계). 다음으로, BSF(107)는 327 단계에서처럼, TLS 터널을 통해 OK 메시지를 전송하며; 전송된 메시지는 가령 B-TID 및 키 자료 수명을 포함한다. 329 단계에서, GAA 모듈은 GAA 마스터 키 를 세팅하고:Ks=key, 그 키를 수신된 B-TID 및 키 자료 수명과 함께 저장하다. MS(101)는 이제 TLS 터널을 닫기 위한 한 메시지를 BSF(107)로 전송한다(331 단계).In addition, the
상기 프로세스를 통해, 도 1의 시스템은 GAA 부트스트래핑을 제공하여, MS(101) 및 BSF(107)가 한 키에 대해 합의할 수 있도록 하고, 또 그 키가 CHAP 인증 절차에 결부되도록 한다. 디피-헬만 (DH)-CHAP와 비교할 때, 도 1의 시스템에 의해 채택된 방식은 이미 표준화된 프로토콜 메시지들에 대한 어떠한 변경도 요하지 않으며, MS(101) 및 BSF(107)에서 적절한 "hook" 기능들을 통해 구현될 수 있다. 또, DH-CHAP는 CHAP 인증을 D-H 키에 결부하는 한 특정한 방식을 기술하며; 합의된 키로부터 과제를 도출한다. 다양한 실시예들에 따른 본 발명은 외부 키를 내부 인증에 간접적으로 결부하는 다른 방법들을 제공한다.Through the above process, the system of FIG. 1 provides GAA bootstrapping so that the
도 4는 본 발명의 일실시예에 따라, CHAP 과제와 함께 서버 인증 TLS를 지원하는 부트스트래핑 절차의 다이어그램이다. 이 대안적인 실시예에서, 서버 인증 TLS는 MS(101) 및 BSF(107) 사이에 GAA 비밀을 설정하는데 사용되며, 이때 CHAP는 TLS 터널 안쪽에서 활용된다. 구체적으로, 401 단계에서, MS(101)는 BSF(107)와 서버 인증 TLS 터널을 개설한다. 앞에서처럼, TLS는 '키(key)'라고 명명된다. 이어서, 403 단계에서, BSF(107)가 (서버 인증 TLS 키로부터 생성될 필요가 없는) CHAP 과제를 생성한다. CHAP 과제 메시지는 그 후 405 단계에서처럼, BSF(107)에 의해 TLS 터널 안으로 해서 MS(101)의 GAA 모듈까지 전송된다.4 is a diagram of a bootstrapping procedure that supports server authentication TLS with a CHAP task, in accordance with an embodiment of the invention. In this alternative embodiment, server authentication TLS is used to establish a GAA secret between the
이후 GAA 모듈은 407 단계에서 CHAP 과제를 SEC 모듈로 전달한다. 이어서, SEC 모듈이 409 단계에서처럼 CHAP 응답을 산출하고, 그 응답을 GAA 모듈로 전송한다(411 단계). 그러면 MS(101)가 413 단계에서 그 CHAP 응답을 TLS 터널을 통해 BSF(107)로 보낸다.The GAA module then delivers the CHAP task to the SEC module in
415 단계에서, BSF(107)는 RADIUS 액세스-요청(Access-Request) 메시지를 MN-AAA(109)로 보내며; 그 요청 메시지는 아이디, 과제 및 응답을 명시한다. MN-AAA(109)는 417 단계에서 응답을 체크하고, BSF(107)로 RADIUS 액세스-대답(Access-Answer) 메시지 (아이디 포함)를 보낸다(419 단계). 이때, BSF(107)는 421 단계에서처럼 사용자의 GUSS를 가져온다. 부가하여, BSF(107)가 GAA 마스터 키를 세팅하고 (Ks=key), 다양한 부트스트래핑 파라미터들 (가령, 부트스트래핑 트랜잭션 식별자 (B-TID), 키 자료 수명, 등등)을 생성하고, MN-AAA (109)로부터의 데이터를 저장한다 (423 단계).In
다음, BSF(107)는 425 단계에서와 같이, TSL 터널을 통해 OK 메시지를 전송한다. 전송된 메시지는 가령 B-TID 및키 자료 수명 같은 부트스트래핑 파라미터들을 포함한다. 427 단계에서, GAA 모듈은 GAA 마스터 키를 세팅하고:Ks=key, 수신된 B-TID 및 키 자료 수명과 함께 그 키를 저장한다. 그런 다음 MS(101)가 429단계에서 TLS 터널을 닫기 위해 BSF(107)로 한 메시지를 보낸다.The
도 5 및 6은 본 발명의 여러 실시예들에 따른, 페이로드 내 키 교환 파라미터들 (또는 키 설정 정보)을 지원하는 부트스트래핑 절차들의 다이어그램들이다. 하이퍼텍스트 전송 프로토콜 (HTTP) 안에, 패스워드 보호용 디피-헬만 (즉, 키 교환 프로토콜)을 제공하는 어떠한 기존의 방식들도 존재하지 않음을 알 수 있다. 도 5 및 6의 프로세스들은 부트스트래핑 (가령, 3GPP2 구조)에 사용하기 위한 패스워드 보호용 디피-헬만을 제공하기 위해 HTTP 다이제스트 및 디피-헬만 파라미터들을 함께 사용할 수 있다. 즉, HTTP 페이로드 안에서 패스워드 (즉, 공유(된) 비밀)가 있는 HTTP 다이제스트, 및 키 교한 프로토콜 (가령, 디피-헬만) 파라미터들의 사용, 및 이들 둘의 결합을 위한 방식들이 제공된다. 패스워드 필드는 비밀 키의 함수가 되도록 세팅된다.5 and 6 are diagrams of bootstrapping procedures that support key exchange parameters (or key setting information) in the payload, in accordance with various embodiments of the present invention. It can be seen that in Hypertext Transfer Protocol (HTTP), there are no existing ways to provide Diffie-Hellman (ie, Key Exchange Protocol) for password protection. The processes of FIGS. 5 and 6 may use the HTTP digest and Diffie-Hellman parameters together to provide Diffie-Hellman for password protection for use in bootstrapping (eg, 3GPP2 architecture). That is, HTTP digests with a password (ie shared secret) in the HTTP payload, and the use of keyed protocol (eg, Diffie-Hellman) parameters, and combinations of the two are provided. The password field is set to be a function of the secret key.
본 발명의 일실시예에서, HTTP 다이제스트 메시지는 시그날링 메시지 암호화 키 (SMEKEY, Signaling Message Encryption Key) 또는 MN-AAA 키를 패스워드로서 사용하고, 모바일 아이디를 사용자 네임(name)으로서 사용하며, 디피-헬만 파라미터들이 HTTP 페이로드 안에 제공된다. 디피-헬만 교환은 패스워드에 의해 보호되는데, HTTP 다이제스트 내 보호 품질 "qop (qualit-of-protection)" 필드가 "auth-int"로 설정되어 있기 때문이며; 결과적으로, HTTP 페이로드가 다이제스트 산출에 포함된다. HTTP 페이로드를 통해, 디피-헬만 파라미터들이 그 자체로서 전송될 수 있으며; 그와 달리, HTTP 페이로드가 패스워드 보호되어 제공될 수도 있다. 이러한 방식은 기존의 사양들 (가령, HTTP 다이제스트)가 재사용될 수 있게 한다는데서 바람직하다. 또한, 이러한 방식은 3GPP GAA 기능 (가령, HTTP 다이제스트 인증 및 키 합의 프로토콜 (AKA), Ub 인터페이스)와 유사하다. 또, 여러 실시예들에 따르면, 이 방식은 기존의 표준화된 프로토콜들을 수정하지 않고 쉽게 구현될 수 있다.In one embodiment of the present invention, the HTTP Digest message uses a Signaling Message Encryption Key (SMEKEY) or MN-AAA key as a password, a Mobile ID as a user name, and a Diff- Hellman parameters are provided in the HTTP payload. The Diffie-Hellman exchange is protected by a password because the quality of protection "qop (qualit-of-protection)" field in the HTTP digest is set to "auth-int"; As a result, the HTTP payload is included in the digest calculation. Via HTTP payload, Diffie-Hellman parameters can be sent as such; Alternatively, the HTTP payload may be provided password protected. This approach is desirable to allow existing specifications (eg HTTP digest) to be reused. This approach is also similar to 3GPP GAA functionality (eg, HTTP Digest Authentication and Key Agreement Protocol (AKA), Ub interface). In addition, according to various embodiments, this approach can be easily implemented without modifying existing standardized protocols.
3GPP GAA는 현재의 CDMA 2000 네트워크들에 대한 수정 없이 사용될 수 있다. 그러나, 3GPP GAA의 초기 인증이 AKA를 지원하지 않아 CAVE에만 적응되는 네트워크 들이나 초기 3GPP2 버전들에 기반하는 네트워크들에 대한 적응을 요한다는 것을 알아야 한다. 그에 따라, CAVE를 수용하기 위한 시스템 구조 및 프로세스가 필요로 된다. 여러 실시예들에 따른 시스템(100)은 3GPP2 CAVE 인증을 HTTP 다이제스트 AKA에 매핑하기 위한 변환 기능을 이용한다; 이 방식은 특히 이전(pre)-CDMA 2000 Rev.C 시스템에 적용가능하다.3GPP GAA can be used without modification to current CDMA 2000 networks. However, it should be noted that the initial authentication of 3GPP GAA does not support AKA and thus requires adaptation to networks that are adapted only to CAVE or networks based on earlier 3GPP2 versions. Accordingly, a system structure and process are needed to accommodate the CAVE.
HTTP 다이제스트 인증은 클라이언트가 패스워드를 암호 아닌 보통 글로 전송해야 함이 없이 서버를 통해 스스로를 인증할 수 있게 한다. 이것은, 입력 값들로서 서버에 의해 제공되는 패스워드 및 랜덤 값을 이용하는 "일방 (one-way)" 함수 또는 역행 불가한 (irreversible) 계산을 활용해 이뤄질 수 있다. AKA 상황 하에서의 HTTP 다이제스트 인증에 대해서는, 이 명세서상에 그 전체가 참조의 형태로 포함되는, "Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA)"이라는 제목의 IETF (Internet Engineering Task Force) RFC (Request for Comment) 3310에 상세히 나와 있다.HTTP Digest authentication allows a client to authenticate itself via a server without having to send the password in plain text rather than a password. This can be done using an "one-way" function or irreversible calculation using the password and random value provided by the server as input values. For HTTP Digest Authentication under the AKA context, the Internet Engineering Task Force, titled "Hypertext Transfer Protocol (HTTP) Digest Authentication Using Authentication and Key Agreement (AKA)", which is hereby incorporated by reference in its entirety. See Request for Comment (RFC) 3310 for details.
예시의 용도로서, 도 5 및 6의 부트스트래핑 절차들이 CDMA 1x 네트워크들 및 CDMA 1x EvDo 네트워크들과 관련해 각각 기술될 것이다. 전형적인 한 실시예에서, 이들 부트스트래핑 절차들은 X.P0028에 기반하며; 여기서 X.P0028를 통한 키 차이는, 단말과 BSF(107) (홈(H)-AAA라고 간주 될 수 있음) 사이에서 EAP (Extensible Authentication Protocol, 확장 가능 인증 프로토콜) 대신 HTTP 다이제스트 편차가 사용된다는 것이다. 부가적으로, 패스워드 보호용 디피-헬만이 사용될 수 있다. 패스워드 (즉, 공유 비밀)는 시그날링 메시지 암호화 키 (SMEKEY) (CDMA 1x)이거나 MN-AAA 키 (CDMA 1xEvDo)가 된다. 무선 LAN (WLAN) 키 (WKEY)가 그 패스워드로부터 생성된다 (세부 내용은 X.P0028에 나와 있다). 부가하여, WKEY는 GAA의 마스터 키 (Ks)가 된다. HTTP 다이제스트가 사용된다 (도 5 및 6에 도시된 바와 같다). 여러 실시예들에 따른 본 발명은 CAVE 및 CHAP가 초기 인증을 위해 3GPP GAA 구조에서 어떻게 사용될 수 있는지를 나타낸다.For purposes of illustration, the bootstrapping procedures of FIGS. 5 and 6 will be described with respect to CDMA 1x networks and CDMA 1x EvDo networks, respectively. In one exemplary embodiment, these bootstrapping procedures are based on X.P0028; Here, the key difference via X.P0028 is that HTTP Digest Deviation is used instead of EAP (Extensible Authentication Protocol) between the UE and BSF 107 (which can be considered Home (H) -AAA). . In addition, only Diffie-Hell for password protection can be used. The password (ie, shared secret) can be a signaling message encryption key (SMEKEY) (CDMA 1x) or an MN-AAA key (CDMA 1xEvDo). A wireless LAN (WLAN) key (WKEY) is generated from its password (details are given in X.P0028). In addition, the WKEY becomes the master key (Ks) of the GAA. HTTP digest is used (as shown in FIGS. 5 and 6). The present invention according to various embodiments shows how CAVE and CHAP can be used in the 3GPP GAA structure for initial authentication.
도 5에 도시된 바와 같이, 단말 (가령, 모바일 스테이션)은 CAVE 프로토콜을 실행하도록 구성된 CAVE 모듈을 포함한다. 그에 더해, GAA 기능들이 GAA 모듈에 의해 지원된다. 501 단계에서, GAA 모듈은 BSF(107)로 보내지는 HTTP Get 메시지를 생성하고; 아이디는 최초 메시지의 "username (사용자 네임)" 필드 안에 들어 전송된다. 이러한 위임 요청 메시지는, 한 전형적 실시예에서, 아래의 표 1에 명시된 필드들을 포함한다:As shown in FIG. 5, the terminal (eg, mobile station) includes a CAVE module configured to execute the CAVE protocol. In addition, GAA functions are supported by the GAA module. In
표 1의 명령들 중 일부가 표 2에서 정의된다:Some of the commands in Table 1 are defined in Table 2:
이제 BSF(107)는 503 단계에서와 같이 RAND를 생성하며, 401 Not Authorized (인증 안 됨) 메시지로 응답한다(505 다계). 초기에, 어떤 위임 헤더도 BSF(107)로 보내지지 않으므로, 상기 401 메시지가 응답으로 이용된다. 도시된 바와 같이, RAND가 "nonce" 필드 (HTTP 다이제스트 AKA와 유사)를 통해 보내진다. RAND 및 CHAP-Chanllege(과제)도 HPPT 페이로드를 통해 보내질 수 있다. RAND를 수신하면, GAA 모듈은 507 단계에서처럼 그것을 CAVE 모듈로 전달한다.The
예로서, 위임 응답 헤더 (Authenticate Response Header)가 표 3에서 주어진다; 관련 명령들은 표 4에 정의되어 있다.As an example, an Authenticate Response Header is given in Table 3; The related commands are defined in Table 4.
509 단계에서, CAVE 모듈은 인증 응답 ("AUTHR"로 표시) 및 SMEKEY를 GAA 모듈로 보낸다. 그러면 GAA 모듈은 511 단계에서처럼, 모바일 스테이션 패스워드 (MS_PW)를 세팅한다: MS_PW=SMEKEY H1'(MS_PW)ogX mod p, 여기서 x는 UE에 의해 생성된 비밀 랜덤 넘버이다.In
다음으로, GAA 모듈이 513 단계에서, 페이로드와 함께 클라이언트 디피-헬만 파라미터들을 포함한 HTTP 메시지를 BSF(107)로 보낸다. CAVE와 함께, HTTP 페이로드 역시 AUTHR을 포함한다. 페이로드는 HTTP 다이제스트에 의해 보호되는데, qop=auth-int이기 때문이다; 또한 HTTP 페이로드는 "response" 필드의 HTTP 다이제스트 산출치에 포함된다. 디피-헬만 파라미터들은 그 자체로 전송되거나 보호될 수 있다. 515 단계에서, BSF(107)가, RAND/AUTHR를 검증하고 SMEKEY를 생성하는 (517 단계) 홈 위치확인 레지스터/인증 센터 (HLR/AC)로 인증 요청 ("AUTHREQ") 메시지를 전송한다. SMEKEY는 519 단계에서 BSF(107)로 보내진다.Next, in
BSF(107)는 521 단계에서처럼, 베이스 스테이션 패스워드를 세팅한다: BS_PW=SMEKEY H1'(BS_PW)ogy mod p, 여기서 y는 UE에 의해 생성된 비밀 랜덤 넘버이다. 이어서, BSF(107)가 (WKEY의 방식과 유사한 방식으로) BS_PW로부터 GAA 마스터 키 (Ks)를 생성한다.The
다음, BSF(107)는 이제 HTTP 200 OK 메시지를 단말로 보낸다(525 단계). 서버 디피-헬만 파라미터들은 HTTP 페이로드를 통해 보내지고, HTTP 다이제스트에 의해 보호되는데, 이는 qop=auth-int이기 때문이다 (즉, HTTP 페이로드 또한 "respauth" 필드의 HTTP 다이제스트 산출치에 포함됨). 일실시예에 따르면, 인증 정보 헤더가 525 단계의 메시지를 통해 제공되어, 아래의 표 5를 통해 성공적 인증을 나타낸다:Next, the
message-qop 명령은 적용된 "보호 품질" 옵션들을 가리키는 것으로, 그것에 의해 "auth" 값은 인증을 가리키고, "auth-int" 값은 무결성 보호와 함께하는 인증을 가리킨다.The message-qop command indicates the "quality of protection" options applied, whereby the "auth" value indicates authentication and the "auth-int" value indicates authentication with integrity protection.
527 단계에서, GAA 모듈은 PS_PW로부터 GAA 마스터 키, Ks를 생성한다 (WKEY에 대한 절차들과 유사한 방식으로).In
CDMA 1xEvDo의 부트스트래핑의 경우, CHAP가 활용된다 (도 6에 도시된 바와 같음). 이 시나리오 하에서, GAA 모듈은 HTTP Get 메시지를 발생하고, 그것은 BSF(107)로 전송되며; 아이디는 최초 메시지의 "username" 필드 안에 들어 전송된다. BSF(107)는 603 단계에서 처럼, 410 메시지로서 응답하고, 이 CHAP 케이스에서, CHAP-Challenge가 'nonce" 안에 들어 보내진다 (즉, 필드는 표준 HTTP 다이제스트에서와 같이 단지 랜덤하다). 다음으로, CHA{ 과제 및 응답이 GAA 모듈과 CHAP 모듈 사이에서 교환된다 (605 및 607 단계). 609 단계에서, GAA 모듈은 다음과 같은 파라미터들을 세팅한다: BS_PW=MN-AAA key;H1'(BS_PW)ogx mod p, 여기서 x는 UE에 의해 생성된 비밀 랜덤 넘버이다.For bootstrapping of
이 시점에서, GAA 모듈을 이용하는 단말은 위임 메시지를 생성해 BSF(107)로 전송한다 (611 단계); 이 메시지는 다음과 같은 것을 명시한다: Digest nonce="<RAND>", response="MS_PW used as passwd>", qop=auth-int,.... HTTP 페이로드는 H1'(MS_PWD)ogx mod p를 포함한다. 613 단계에서 BSF(107)는 베이스 스테이션 패스워드 (BS_PW)를 세팅한다:BS_PW=MN-AAA H1'(BS_PW)ogy mod p, 여기서 y는 UE에 의해 생성된 비밀 랜덤 넘버이다. BSF(107)는 또 BS_PW로부터 GAA 마스터 키, Ks를 생성한다.At this point, the terminal using the GAA module generates a delegation message and transmits it to the BSF 107 (step 611); This message specifies the following: Digest nonce = "<RAND>", response = "MS_PW used as passwd>", qop = auth-int, .... The HTTP payload is H1 '(MS_PWD) og x Include mod p In
그런 후, BSF(107)는 H1'(MS_PWD)ogy mod p를 특정하는 200 OK 메시지, B-TID 및 키 수명을 GAA 모듈로 전송한다 (617 단계). 619 단계에서, GAA 모듈은 MS_PWD로부터 GAA 마스터 키, Ks를 생성한다. WKEY가 GAA 마스터 비밀(Ks)로 세팅된다.The
도 7 및 8은 본 발명의 여러 실시예들에 따른, 패스워드들의 해시(hash)에 의해 변환되는 키 교환 파라미터들을 지원하는 부트스트래핑 절차들의 다이어그램들이다. 도7의 부트스트래핑 절차는 도 5의 절차와 유사하다; 즉, 701-711 단계들은 501-511 단계에 대략 일치한다. 마찬가지로, 도 8의 절차는 도 6의 절차를 따르며, 그에 따라 801-809 단계들은 601-609 단계들을 따라간다. 그러나 도 7 및 8의 시나리오들 하에서, 클라이언트 디피-헬만 파라미터들은 패스워드 (즉, SMEKEY, 또는 MN-AAA Key)의 해시로서 커버되어, "cnonce" 필드에 들어 전송된다. 이 해시는 표준 HTTP 다이제스트 산출치들에 기초해 생성될 수 있다.7 and 8 are diagrams of bootstrapping procedures that support key exchange parameters that are translated by a hash of passwords, in accordance with various embodiments of the present invention. The bootstrapping procedure of FIG. 7 is similar to the procedure of FIG. 5; That is, steps 701-711 correspond approximately to steps 501-511. Likewise, the procedure of FIG. 8 follows the procedure of FIG. 6, whereby steps 801-809 follow steps 601-609. However, under the scenarios of FIGS. 7 and 8, client diffi-Hellman parameters are covered as a hash of a password (ie, SMEKEY, or MN-AAA Key) and transmitted in the "cnonce" field. This hash can be generated based on standard HTTP digest outputs.
도 7의 절차와 관련하여, 713 단계에서 GAA 모듈로부터 BSF(107)로 전송되는 메시지는 cnonce="<H1'(MS_PWD)ogx mod p>"를 포함한다. 715-723 단계들은 도 5의 517-523 단계들을 따른다. 현 시나리오 하의 725 단계에서, BSF(107)는 H1'(BS_PWD)ogy mod p>"를 명시하는 200 OK 메시지를 전송한다. 즉, 서버 디피-헬만 파라미터들은 "nextnonce" 필드에 들어 전송되는 패스워드 (즉, SMEKEY, 또는 MN-AAA-KEY)의 해시로 커버 된다. 그런 다음, GAA 모듈이 그 PS_PW로부터 GAA 마스터 키, Ks를 생성한다(727 단계).In relation to the procedure of FIG. 7, the message transmitted from the GAA module to the
도 8의 부트스트래핑 절차와 관련해, 811 단계의 HTTP 메시지는 cnonce 필드 안에 <H1'(MS_PWD)ogx mod p>를 포함한다. 813-819는 일반적으로, 817 단계의 200 OK 메시지가 nextnonce="<H1'(BS_PWD)ogy mod p>"를 명시한다는 예외와 함께, 613-619 단계를 따르게 된다.In relation to the bootstrapping procedure of FIG. 8, the HTTP message of
도 9는 본 발명의 일실시예에 따른, 한 개의 공유 비밀 데이터 (SSD)를 가진 CAVE를 활용하는 부트스트래핑 절차의 다이어그램이다. UE (GAA 모듈 경우)가 SSD 생성 함수 및 인증 함수를 제공하고, 그에 따라 GAA 어플리케이션은 SSD_A_NEW 및 SSD_B_NEW로의 액세스를 요한다. 901 단계에서, UE와 BSF(107) 사이에서 UE에 의한 BSF(107)로의 GET 요청 제시와 함께 부트스트래핑 절차가 개시된다. 이 GET 요청은 사용자 아이디를 포함하며, BSF(107)는 그것을 HLR/AC로 전달한다(903 단계). 그러면 HLR/AC가 랜덤 SSD ("RANDSSD")를생성하고 CAVE 알고리즘을 사용해 SSD_A 및 SSD_B를 도출한다(905 단계); 이 정보는 907 단계를 통해 BSF(107)로 전달된다. 이 전형적 실시예에서, SSD는 128 비트의 공유 비밀 데이터로서, 인증에 사용되는 64 비트의 SSD_A 키와 암호화 마스크 및 사적인 롱 코드 (private long code)를 생성하기 위해 다른 파라미터들과 함께 사용되는 64 비트의 SSD-B 키를 포함한다. RANDSSD는 HLR/AC에서 생성되는 56 비트 랜덤 과제이다. SSD는 SSD_A 키와 SSD_B 키가 연결된 것이다.9 is a diagram of a bootstrapping procedure utilizing CAVE with one shared secret data (SSD), in accordance with an embodiment of the present invention. The UE (GAA module case) provides the SSD generation function and the authentication function, so the GAA application requires access to SSD_A_NEW and SSD_B_NEW. In
909 단계에서, BSF(107)가 RAND_CHALLENGE 및 의사 AKA 인증 벡터를 생성한다. 예로서, RAND_CHALLENGE는 32 비트 랜덤 과제이다. AKA 인증 벡터를 생성하기 위해, 본 발명의 일실시예에 따라, 905 단계에서 생성된 CAVE 파라미터들을 AKA 파라미터들로 변환하도록 (또는 매핑하도록) 변환 기능들이 수행된다. 변환 기능들은 RANDSSD, SSD_B, 그리고 AUTH_SIGNATURE를 포함하는 CAVE 파라미터들의 한 개 또는 두 세트로부터 의사 AKA 인증 벡터를 생성하기 위해 사용된다.In step 909, the
도 9에 도시된 바와 같이, 변환 기능들은 키의 생성에 대해 지워하며, 여기서 SSD_A 및 SSD_B는 다음과 같이 연결된다:key=SSD_A∥SSD_B∥SSD_A∥SSD_B. 다음으로, 키, CAVE 파라미터들, 및 3GPP GAA 키 도출 함수 (KDF)가 사용되어 의사 AKA 인증 벡터 (RAND, 인증 토큰 (AUTN), 암호화 키(CK), 무결성 키(IK), 및 인증 응답(RES) 포함)를 형성한다. 예로서, 의사 AKA 인증 벡터는 다음과 같이 생성될 수 있다:As shown in Fig. 9, the conversion functions are erased for the generation of the key, where SSD_A and SSD_B are connected as follows: key = SSD_A∥SS_B∥SSD_A∥SS_B. Next, the key, CAVE parameters, and 3GPP GAA key derivation function (KDF) are used to construct the pseudo AKA authentication vector (RAND, authentication token (AUTN), encryption key (CK), integrity key (IK), and authentication response ( RES)). As an example, a pseudo AKA authentication vector can be generated as follows:
RAND=RANDSSD∥RAND_CHALLENGE∥ZZRANDRAND = RANDSSD∥RAND_CHALLENGE∥ZZRAND
AUTN=KDF(key, "3gpp2-cave-autn∥RAND), 128 비트로 잘림AUTN = KDF (key, "3gpp2-cave-autn∥RAND), truncated to 128 bits
CK=KDF(key, "3gpp2-cave-ck"∥RAND), 128 비트로 잘림CK = KDF (key, "3gpp2-cave-ck" ∥RAND), truncated to 128 bits
IK=KDF(key, "3gpp2-cave-ik"∥RAND), 128 비트로 잘림IK = KDF (key, "3gpp2-cave-ik" ∥RAND), truncated to 128 bits
RES=KDF(key, "3gpp2-cave-res"∥AUTH_SIGNATURE), 128로 잘림, 여기서 ZZRAND는 40 비트 길이의 제로(0) 값으로 된 파라미터이다 (RAND를 128 비트로 확장하기 위한 것임).RES = KDF (key, "3gpp2-cave-res" AUTH_SIGNATURE), truncated to 128, where ZZRAND is a 40-bit long zero value parameter (to extend RAND to 128 bits).
911 단계에서, BSF(107)는 HTTP 401 메시지를 UE (가령, MS(101))로 보낸다; 이 메시지는 RAND 및 AUTN을 특정하다. 이 메시지를 수신하면, MS(101)는 913 단계에서처럼, 수신된 RAND로부터 RANDSSD 및 RAND_CHALLENGE를 추출한다. MS(101)는 이제 RANDSSD를 이용해 SSD_A_NEW 키 및 SSD_B_NEW 키를 생성한다.In
GAA 모듈은 915 단계처럼, RANDSSD 및 ESN을 SEC 모듈로 보내며, SEC 모듈은 OK 메시지로서 이를 승인한다(917 단계). ESN은 가령 단말 (또는 모바일 스테이션(MS))의 32 비트 전자 셀룰라 인증 넘버이다.The GAA module sends the RANDSSD and ESN to the SEC module, as in
919 단계에서, SSD_A_NEW는 AUTH_SIGNATURE 및 의사 AKA 인증 벡터를 생성하는데 사용된다. GAA 모듈은 921 단계에서처럼 SEC 모듈로 AUTH_SIGNATURE 메시지를 전송한다. SEC 모듈은 923 단계를 통해 적절한 응답 (AUTH_SIGNATURE)으로서 응답하다. 다음, 925 단계에서, GAA 모듈은 의사 AKA 인증 벡터를 생성하고, 수신된 AUTN이 생성된 것과 동일한지 여부를 판단하고, RES를 이용해 다이제스트 응답을 산출한다.In
927 단계에서, UE는 RES를 패스워드로서 포함하는 HTTP 메시지를 BSF(107)로 보낸다. 다시, BSF(107)는 929 단계에서처럼 RES를 이용해 다이제스트(Digest) 응답을 비준하고, GAA 마스터 키 (Ks=CK∥IK, B-TID, 키 수명 등등을 생성한다; 이들 데이터가 저장된다. 다음, BSF(107)는 931 단계에서처럼 GUSS를 가져온다; 이와 달리, 이 정보가 907 단계에서 전달될 수도 있다.In
그런 다음 BSF(107)는 B-TID 및 키 수명을 명시한 200 OK 메시지를 MS(101)로 보낸다(933 단계). 이때, MS(101)는 GAA 마스터 키, Ks를 생성하며, 이것은 수신된 B-TID 및 키 수명과 함께 나란히 저장된다(935 단계).The
도 10a 및 10b는 본 발명의 일실시예에 따라 여러 SSD들과 함께 CAVE를 활용하는 부트스트래핑 절차의 다이어그램들이다. 도 9의 절차에서와 같이, 여기 도시된 GAA 모듈은 SSD 생성 및 인증 기능들을 포함하며; 또한 GAA 어플리케이션은 SSD_A_NEW 및 SSD_B_NEW로의 액세스를 요한다. 이 예에서, 도 10a 및 10b에 도시된 바와 같이, 한 메시지 시퀀스에 있어, 두 SSD들과 두 RANDSSD들이 가령 256 비트 GBA (Generic Bootstrapping Architecture; 포괄 부트스트래핑 구조) 공유 비밀 (Ks)을 얻는데 사용될 수 있다. 1001 단계에서, UE가 GET 요청을 BSF(107)로 보내, 부트스트래핑 절차를 개시하도록 한다. GET 요청으로부터 사용자 아이디가 HLR/AC로 전달된다(1003 단계). 다음에, HLR/AC가 RANDSSD를 생성하고 SSD_A 및 SSD_B의 제1세트 ("SSD_A1 및 SSD_B1"으로 표시)를 도출한다(1005 단계). RANDSSD (가령, "RANDSSD1")은 SSD_A1 및 SSD_B1을 따라 BSF(107)로 전송된다(1007 단계).10A and 10B are diagrams of a bootstrapping procedure utilizing CAVE with several SSDs in accordance with an embodiment of the present invention. As in the procedure of FIG. 9, the GAA module shown here includes SSD generation and authentication functions; GAA applications also require access to SSD_A_NEW and SSD_B_NEW. In this example, as shown in FIGS. 10A and 10B, in one message sequence, two SSDs and two RANDSSDs can be used to obtain a 256-bit Generic Bootstrapping Architecture (GBA) shared secret (Ks), for example. have. In
1009 및 1011 단계에서, 사용자 아이디가 다시 HLR/AC로 전달되고, HLR/AC는 다른 CAVE 파라미터들의 세트를 생성한다:RANDSSD2, SSD_A2, 및 SSD_B2. 이 파라미터들은 이후 BSF(107)로 전달된다(1013 단계).In
1015 단계에서, BSF(107)는 RAND_CHALLENGE 및 의사 AKA 인증 벡터를 생성한다. 도 9의 절차에서처럼, CAVE 파라미터들 (가령, RANDSSD1, SSD_A1, SSD_B1, AUTH_SIGNATURE1, RANDSSD2, SSD_A2, SSD_B2, 및 AUTH_SIGNATURE2)로부터 의사 AKA 인증 벡터를 생성하는데 변환 기능들이 사용된다.In
키는 다음과 같이 생성된다:key=SSD_A1∥SSD_B1∥SSD_A2∥SSD_B2. 다음, 이 키, CAVE 파라미터들, 및 GAA 키 도출 함수 (KDF)가 사용되어, 의사 AKA 인증 벡터를 형성한다. 이 벡터는 RAND, AUTN, CK, IK, 및 RES를 포함하고, 예를 들어, 다음과 같이 정해진다:The key is generated as follows: key = SSD_A1 ∥ SSD_B1 ∥ SSD_A2 ∥ SSD_B2. This key, CAVE parameters, and GAA key derivation function (KDF) are then used to form the pseudo AKA authentication vector. This vector includes RAND, AUTN, CK, IK, and RES, and is defined as follows, for example:
RAND=RANDSSD1∥RANDSSD2∥ZZRANDRAND = RANDSSD1∥RANDSSD2∥ZZRAND
AUTN=KDF(key, "3gpp2-cave-autn∥RAND), 128 비트로 잘림AUTN = KDF (key, "3gpp2-cave-autn∥RAND), truncated to 128 bits
CK=KDF(key, "3gpp2-cave-ck"∥RAND), 128 비트로 잘림CK = KDF (key, "3gpp2-cave-ck" ∥RAND), truncated to 128 bits
IK=KDF(key, "3gpp2-cave-ik"∥RAND), 128 비트로 잘림IK = KDF (key, "3gpp2-cave-ik" ∥RAND), truncated to 128 bits
RES=KDF(key, "3gpp2-cave-res"∥AUTH_SIGNATURE1∥AUTH_SIGNATURE2), 128 비트로 잘림.RES = KDF (key, "3gpp2-cave-res" ∥AUTH_SIGNATURE1∥AUTH_SIGNATURE2), truncated to 128 bits.
Server specific data=RAND_CHALLENGE1∥RAND_CHALLENGE2,Server specific data = RAND_CHALLENGE1∥RAND_CHALLENGE2,
여기서, ZZRAND는 16 비트 길이의 0으로 된 데이터이다 (RAND를 128 비트까지 채우기 위해 사용됨).Here, ZZRAND is 16 bits long zero data (used to fill up to 128 bits RAND).
1017 단계에서, BSF(107)는 RAND, AUTN 및 server specific data (서버 지정 데이터)를 명시한 HTTP 401 메시지를 GAA 모듈로 보낸다. 이 메시지를 수신하면, GAA 모듈은 RANDSSD1, RANDSSD2, RAND_CHALLENGE1 및 RAND_CHALLENGE2를 수신된 RAND 및 server specific data로부터 추출한다(1019 단계). GAA 모듈은 이제 SSD_A_NEW1과 SSD_B_NEW1을 AUTH_SIGNATURE1과 함께 생성한다(1021 단계).In
다음에, GAA 모듈은, RANDSSD1 및 ESN을 포함하는 SSD 생성 메시지 (SSD_generation)를 SEC 모듈로 전달한다. 그에 응하여, SEC 모듈은 OK 메시지로서 승인한다(1023 및 1025 단계들).The GAA module then delivers an SSD generation message (SSD_generation) that includes the RANDSSD1 and the ESN to the SEC module. In response, the SEC module acknowledges as an OK message (
부가적으로, GAA 모듈은 SEC 모듈로 AUTH_SIGNATURE 메시지를 전달한다 (1027 단계); AUTH_SIGNATURE 메시지는 RAND_CHALLENGE1 및 SSD_B_NEW1을 특정한다.In addition, the GAA module forwards the AUTH_SIGNATURE message to the SEC module (step 1027); The AUTH_SIGNATURE message specifies RAND_CHALLENGE1 and SSD_B_NEW1.
1029 단계에서, SEC 모듈은 GAA 모듈에 AUTH_SIGNATURE1을 제공한다. 이때, GAA 모듈은 1031 단계에서처럼 SSD_A_NEW1, SSD_B_NEW1, 그리고 AUTH_SIGNATURE1을 저장한다.In
1033-1043 단계들은 실질적으로 1021-1031 단계들과 일치하나, 파라미터들의 제2세트라는 점에서 다르다: SSD_A_NEW2, SSD_B_NEW2, 그리고 AUTH_SIGNATURE2.The steps 1033-1043 are substantially identical to steps 1021-1031, but differ in that they are a second set of parameters: SSD_A_NEW2, SSD_B_NEW2, and AUTH_SIGNATURE2.
1045 단계에서, GAA 모듈은 의사 AKA 인증 벡터를 생성하고, 수신된 AUTN이 생성된 것과 같은지 여부를 판단한다. GAA 모듈은 또 RES에 기초해 다이제스트 응답을 출력한다.In
다음으로, UE가 1047 단계에서처럼, 패스워드로서 RES를 포함하는 HTTP 메시지를 BSF(107)로 보낸다. BSF(107)는 1049 단계에서처럼 RES를 이용해 다이제스트 응답을 비준하고, GAA 마스터 키 (Ks=CK∥IK), B-TID, 키 수명 등등을 생성한다; BSF(107)는 또한 그 데이터를 저장한다. 1051 단계에서, BSF(107)은 GUSS를 가져온다 (이것은 1007 단계에서 다른 대안으로서 전송될 수 있다).Next, the UE sends an HTTP message to the
BSF(107)는 1053 단계에서와 같이, B-TID 및 키 수명을 명시한 200 OK 메시지를 UE로 보낸다. 그런 다음, UE는 GAA 마스터 키, Ks를 생성하며, 이 키는 수신된 B-TID 및 키 수명과 함께 나란히 저장된다(1055 단계).The
도 11은 본 발명의 일실시예에 따라, HTTP 다이제스트 AKA와 함께 CAVE를 활용하는 부트스트래핑 절차의 다이어그램이다. 이 부트스트래핑 절차에서 메시지 시퀀스는 두 개의 SSD들과 두 개의 RANDSSD들을 활용한다. 사용자 아이디가 1101 단계에서처럼 BSF(107)로, 그리고 1103단계에서 HLR/AC로 전송된다. 1105 단계에서, HLR/AC는 SSD1, SSD2, RANDSS1, RANDSS2, 및 GBA 사용자 보안 설정사항들 (GUSS)를 BSF(107)로 전송한다. 그에 응하여, BSF(107)는 두 개의 RAND_CHALLENGE들 (즉, RAND_CHALLENGE1 및 RAND_CHALLENGE2)를 1107 단계를 통해 생성한다. 1109 단계에서, RANDSSD1, RANDSSD2, RAND_CHALLENGE1 및 RAND_CHALLENGE2가 UE로 전달된다.11 is a diagram of a bootstrapping procedure utilizing CAVE with an HTTP Digest AKA, in accordance with an embodiment of the present invention. In this bootstrapping procedure, the message sequence utilizes two SSDs and two RANDSSDs. The user ID is sent to the
그러면 UE는 다음과 같은 것을 산출한다: SSD1, SSD2, AUTH_SIGNATURE1, 및 AUTH_SIGNATURE2 (1111 단계). SSD1은 RANDSSD1, A-Key 및 ESN으로부터 계산된다; 마찬가지로 SSD2는 RANDSSD2, A-Key 및 ESN으로부터 정해진다. AUTH_SIGNATURE1은 SSD_A1 및 RAND_CHALLENGE1으로부터 산출되고; AUTH_SIGNATURE2는 SSD_A2 및 RAND_CHALLENGE2로부터 산출된다. 1113 단계에서, UE는 AUTH_SIGNATURE1 및 AUTH_SIGNATURE2가 연결된 것을 패스워드로서 BSF(107)로 보낸다.The UE then calculates the following: SSD1, SSD2, AUTH_SIGNATURE1, and AUTH_SIGNATURE2 (step 1111). SSD1 is calculated from RANDSSD1, A-Key and ESN; Likewise, SSD2 is determined from RANDSSD2, A-Key and ESN. AUTH_SIGNATURE1 is calculated from SSD_A1 and RAND_CHALLENGE1; AUTH_SIGNATURE2 is calculated from SSD_A2 and RAND_CHALLENGE2. In
이제 1115 단계에서와 같이, CK_UMTS∥IK_UMTS (=SSD_A1∥SSD_A2∥SSD_B1∥SSD_B2)를 연결함으로써 BSF(107)에서 키가 생성된다. 또, BSF(107)는 B-TID 및 키 수명을 명시한 200 OK메시지를 UE로 보낸다 (1117 단계). 1119 단계에서, UE는 Ks를 결정한다.Now, as in
이 기술분야의 당업자들 가운데 한 사람이라면, 부트스트래핑을 지원하는 상기 프로세스들이 소프트웨어, 하드웨어 (가령, 일반 프로세서, 디지털 신호 처리 (DSP) 칩, ASIC (Application Specific Integrated Circuit), FPGA (Field Programmable Gate Array)들 등등), 펌웨어, 또는 이들의 조합을 통해 구현될 수 있다는 것을 알 수 있을 것이다. 상술한 기능들을 수행하기 위한 전형적 하드웨어를 도 12와 관련해 아래에서 설명할 것이다.One of ordinary skill in the art will appreciate that the above processes that support bootstrapping are software, hardware (e.g., general processors, digital signal processing (DSP) chips, application specific integrated circuits (ASICs), field programmable gate arrays (FPGAs). It may be understood that the present invention may be implemented through the above), firmware, or a combination thereof. Typical hardware for performing the above-described functions will be described below with respect to FIG.
도 12는 본 발명의 다양한 실시예들이 구현될 수 있는 전형적 하드웨어를 나타낸 것이다. 컴퓨팅 시스템(1200)은 버스(1201) 또는 정보 통신을 위한 다른 통신 메커니즘 및 버스(1201)와 결합되어 정보를 처리하는 프로세서(1203)를 포함한다. 컴퓨팅 시스템(1200)은 또 RAM (random acces memory)나 기타 다이내믹 스토리지 장치와 같이, 버스(1201)와 연결되어 프로세서(1203)에 의해 실행될 정보와 명령들이 저장될 주 메모리(1205) 역시 포함한다. 주 메모리(1205)는 프로세서(1203)에 의한 명령 실행 중에 일시적 변수들 또는 다른 중간 정보를 저장하는데 사용될 수도 있다. 컴퓨팅 시스템(1200)은 ROM (read only memory)(1207) 또는 버스(1201)와 연결되어 프로세서(1203)를 위한 고정 정보와 명령들을 저장하기 위한 다른 정적 스토리지 장치를 더 포함할 수 있다. 마그네틱 디스크나 광 디스크 같은 스토리지 장치(1209)는 버스(1201)와 연결되어 지속적으로 정보 및 명령들을 저장하도록 한다.12 illustrates exemplary hardware in which various embodiments of the present invention may be implemented.
컴퓨팅 시스템(1200)은 버스(1201)를 통해 액정 디스플레이나 액티브 매트릭스 디스플레이 같이 사용자에게 정보를 디스플레이하기 위한 디스플레이(1211)와 연결될 수 있다. 문자숫자 및 기타 키들을 포함하는 키보드 같은 입력 장치(1213)가 버스(1201)에 연결되어, 프로세서(1203)로 정보와 명령 선택사항들을 전송할 수 있다. 입력 장치(1213)는 마우스, 트랙볼, 또는 커서 방향 키들 같은 커서 제어를 포함하여, 프로세서(1203)로 방향 정보 및 명령 선택사항들을 전송하고 디스플레이(1211) 상에서의 커서 이동을 제어하도록 할 수 있다.
본 발명의 여러 실시예들에 따르며, 여기 개시된 프로세스들은 주 메모리(1205)에 포함된 명령들의 배열을 실행하는 프로세서(1203)에 응하여 컴퓨팅 시스템(1200)에 의해 제공될 수 있다. 그러한 명령들은 스토리지 장치(1209) 같은 다른 컴퓨터 판독가능 매체로부터 주 메모리(1205)로 읽혀질 수 있다. 주 메모리(1205) 안에 포함된 명령들의 배열 실행이, 프로세서(1203)로 하여금 여기 개시된 프로세스 단계들을 수행하게 만든다. 멀티-프로세싱 구성 하의 하나 이상의 프로세서들이 사용되어 주 메모리(1205)에 포함된 명령들을 실행할 수도 있다. 다른 대안적 실시예들에서, 본 발명의 실시예를 구현하기 위해 소프트웨어 명령들을 대신하거나 그와 조합하여 유선 회로가 사용될 수도 있다. 다른 예에서, FPGS들 같은 재설정 하드웨어가 사용될 수 있으며, 여기서, 그 로직 게이트들의 기능과 연결 토폴로지는 런 타임에서, 보통은 프로그래밍 메모리 룩업 테이블들에 의해 맞춤화될 수 있다. 따라서, 본 발명의 실시예들이 하드웨어 및 소프트웨어의 특정한 조합으로만 제한되는 것은 아니다.In accordance with various embodiments of the present invention, the processes disclosed herein may be provided by
컴퓨팅 시스템(1200)은 또 버스(1201)와 연결된 적어도 하나의 통신 인터페이스(1215) 역시 포함한다. 통신 인터페이스(1215)는 네트워크 링크 (미도시)와 결합되는 투 웨이 (two-way) 데이터 통신을 제공하다. 통신 인터페이스(1215)는 여러 타입의 정보를 표현하는 디지털 데이터 스트림들을 운반하는 전기적, 전자기적, 혹은 광학적 신호들을 송수신한다. 또, 통신 인터페이스(1215)는 USB (Universal Serial Bus) 인터페이스, PCMCIA (Personal Computer Memory Card International Association) 인터페이스 등과 같은 주변 인터페이스 장치들을 포함할 수 있다.
프로세서(1203)는 전송 코드를 수신 중에 실행하고/거나 그 코드를 저장 장치(1209) 혹은 나중에 실행하도록 다른 비휘발성 스토리지 안에 저장할 수 있다. 이러한 방식으로, 컴퓨팅 시스템(1209)은 반송파의 형태로 어플리케이션 코드를 획득할 수 있다.
여기 사용된 "컴퓨터 판독가능 매체"라는 용어는 실행을 위해 프로세서(1203)로 명령들을 제공하는데 개입되는 어떤 매체를 의미한다. 이러한 매체는 반드시 여기 한정되는 것은 아니나 비휘발성 매체, 휘발성 매체, 전송 매체를 포함하는 여러 형태들을 취할 수 있다. 비휘발성 매체는 가령 스토리지 장치(1209) 같은 광학적 혹은 자기적 디스크들을 포함한다. 휘발성 매체는 주 메모리(1205) 같은 다이내믹 메모리를 포함한다. 전송 매체는 버스(1201)를 포함하는 유선들을 포함해, 동축 케이블, 구리 선 및 광섬유를 포함한다. 전송 매체는, 무선 주파수 (RF) 및 적외선 (IR) 데이터 통신 중에 생성된 것 같은, 청각적, 광학적, 또는 전자기적 파형의 형태를 취할 수도 있다. 컴퓨터 판독가능 매체의 일반적 형태는, 가령 플로피 디스크, 플렉시블 디스크, 하드 디스크, 자기 테이프, 임의의 기타 자기 매체, CD-ROM, CDRW, DVD, 기타 어느 광매체, 펀치 카드, 페이퍼 테이프, 광 마크 종이, 홀의 패턴들이나 다른 광학적으로 인식가능한 색인을 가진 기타 어느 물리적 매체, RAM, ROM, 및 EPROM, FLASH-EPROM, 다른 어느 메모리 칩 혹은 카트리지, 반송파, 또는 컴퓨터가 읽을 수 있는 다른 어떤 매체를 포함한다.The term "computer readable medium" as used herein refers to any medium involved in providing instructions to
다양한 형태의 컴퓨터 판독가능 매체가 명령들의 실행을 위해 프로세서로 그 명령들을 제공하는 동작에 개입될 수 있다. 예를 들어, 본 발명의 적어도 일부를 실행하기 위한 명령들이 초기에 마그네틱 디스크나 원격 컴퓨터상으로 운반될 수 있다. 그러한 시나리오 하에서, 원격 컴퓨터가 명령들을 주 메모리로 로드하고 모뎀을 이용해 전화선을 거쳐 그 명령들을 전송한다. 로컬 시스템의 모뎀이 전화선을 통해 데이터를 수신하고 적외선 전송기를 사용해 그 데이터를 적외선 신호로 변환한 후 그 적외선 신호를 PDA (personal digital assistant)나 랩탑 같은 휴대형 컴퓨팅 장치로 전송한다. 휴대형 컴퓨팅 장치상의 적외선 검출기가 적외선 신호에 의해 내포된 정보 및 명령을 수신하고 버스에 그 데이터를 싣는다. 버스는 데이터를 주 메모리로 운반하고, 그로부터 프로세서가 명령을 검색해 실행한다. 주 메모리에 의해 수신된 명령들은 옵션으로서, 프로세서에 의해 실행되기 전이나 후에 스토리지 장치상에 저장될 수 있다.Various forms of computer readable media may be involved in the act of providing the instructions to the processor for execution of the instructions. For example, instructions for carrying out at least part of the present invention may be initially carried on a magnetic disk or a remote computer. Under such a scenario, a remote computer loads instructions into main memory and sends them over a telephone line using a modem. The modem in the local system receives the data over the telephone line, converts the data into an infrared signal using an infrared transmitter, and sends the infrared signal to a portable computing device such as a personal digital assistant (PDA) or laptop. An infrared detector on a portable computing device receives the information and commands implied by the infrared signal and loads the data on the bus. The bus carries data to main memory from which the processor retrieves instructions and executes them. Instructions received by main memory may optionally be stored on the storage device before or after being executed by the processor.
도 13a 및 13b는 본 발명의 여러 실시예들을 지원할 수 있는 다른 셀룰라 모바일 전화 시스템들의 다이어그램들이다. 도 13a 및 13b는 각각 (베이스 스테이션 및 모바일 스테이션 내 디지털 신호 프로세서(DSP), 하드웨어, 소프트웨어, 집적 회로, 및/또는 반도체 장치의 일부로서) 설치된 트랜시버를 포함하는 모바일 스테이션 (가령, 핸드셋) 및 베이스 스테이션 둘 모두를 포함하는 전형적 셀룰라 모바일 전화 시스템들을 보인 것이다. 예로서, 무선 네트워크는 국제 모바일 전기통신 2000 (IMT-2000)을 위한 국제 전기통신 협회 (ITU)에 의해 정의된 바와 같은 제2 및 제3세대 (2G 및 3G) 서비스들을 지원한다. 설명의 목적으로, 무선 네트워크의 캐리어 및 채널 선택 기능이 cdma2000 구조와 관련해 설명되고 있다. IS-95의 제3세대 버전으로서, cdma2000은 제3세대 공동 프로젝트 2 (3GPP2)에서 표준화되어 있다.13A and 13B are diagrams of other cellular mobile telephony systems that can support various embodiments of the present invention. 13A and 13B illustrate a mobile station (eg, handset) and a base comprising a transceiver installed (as part of a digital signal processor (DSP), hardware, software, integrated circuits, and / or semiconductor devices in the base station and mobile station, respectively). Typical cellular mobile telephone systems are shown that include both stations. As an example, the wireless network supports second and third generation (2G and 3G) services as defined by the International Telecommunications Association (ITU) for International Mobile Telecommunications 2000 (IMT-2000). For purposes of explanation, carrier and channel selection functions of a wireless network have been described in relation to the cdma2000 architecture. As the third generation version of IS-95, cdma2000 is standardized in the third generation joint project 2 (3GPP2).
무선 네트워크(1300)는 베이스 스테이션 서브시스템 (BSS)(1303)과 통신하는 모바일 스테이션(1301) (가령, 핸드셋, 단말, 스테이션, 유닛, 장치, 또는 다른 종류의 사용자 인터페이스 (가령, "착용형" 회로 등과 같은))을 포함한다. 본 발명의 일실시예에 따라, 무선 네트워크는 IMT-2000을 위해 ITU에서 정의된 것 같은 3G 서비스들을 지원한다.The
이 예에서, BSS(1303)는 베이스 트랜시버 스테이션 (BTS)(1305)와 베이스 스테이션 컨트롤러 (BSF)(1307)를 포함한다. 하나의 BTS만이 보여지고 있으나, 통상적으로 여러 BTS들이, 포인트-투-포인트 링크들 등을 통해 BS와 연결된다는 것을 알아야 한다. 각 BSS(1303)은 전송 제어 엔티티나 패킷 제어 기능 (PCF)(1311)을 통해 패킷 데이터 서빙 노드 (PDSN)(1309)에 링크된다. PDSN(1309)이 인터넷(1313)이나 다른 사설 고객 네트워크들(1315) 등의 외부 네트워크들로의 게이트웨이로서 기능하기 때문에, PDSN(1309)은 사용자의 아이디 및 특권을 안전하게 판단하고 각 사용자의 활용을 추적하기 위해 액세스, 위임 및 회계 시스템 (AAA, Access, Authorization and Accounting system)(1317)을 포함할 수 있다. 네트워크(1315)는 홈 AAA(1337)에 의해 보호되는 홈 에이전트(HA)(1335)를 통해 액세스되는 하나 이상의 데이터베이스들(1333)과 링크된 네트워크 관리 시스템 (NMS)(1331)을 포함한다.In this example, the
하나의 BSS(1303)만이 도시되고 있으나, 여러 BSS들(1303)이 보통 모바일 스위칭 센터 (MSC)(1319)에 연결된다는 것을 알아야 한다. MSC(1319)는 PSTN (Public Switched Telephone Network)(1321) 같은 회로 교환형 전화 네트워크와의 연결을 지원한다. 마찬가지로, MSC(1319)가 동일한 네트워크(1300) 상에서 다른 MSC들(1319) 및/또는 다른 무선 네트워크들에 연결될 수 있다는 것 역시 알 수 있다. MSC(1319)는 일반적으로, 그 MSC(1319)에 대한 능동적 가입자들에 대한 일시적 정보를 보유하는 VLR (Visitor Location Register, 방문자 위치확인 레지스터)(1323) 데이터베이스와 함께 자리한다. VLR(1323) 데이터베이스 내의 데이터는 상당 부분이, 세부 가입자 서비스 가입 정보를 저장하는 홈 위치확인 레지스터 (HLR)(1325) 데이터베이스의 사본이다. 일부 구현예에서, HLR(1325) 및 VLR(1323)은 동일한 물리적 데이터베이스이나; HLR(1325)는 가령 시그날링 시스템 넘버 7 (SS7) 네트워크를 통해 액세스되는 원거리 위치에 자리할 수 있다. 비밀 인증 키 같은 가입자 고유 인증 데이터를 포함하는 인증 센터 (AuC)(1327)가 사용자들을 인증하기 위go HLR(1325)와 결부된다. 또, MSC(1319)는 단문 메시지들을 저장하여 무선 네트워크(1300)로/로부터 전달하는 단문 메시지 서비스 센터 (SMSC)(1329)에 더 연결되어 있다.Although only one
통상의 셀룰라 전화 시스템 동작 중에, BTS들(1305)은 전화 통화 또는 기타 통신을 행하는 모바일 유닛들의 세트들(1301)로부터 역-링크 신호들을 수신하여 복조한다. 소정 BTS(1305)에 의해 수신된 각각의 역-링크 신호가 그 스테이션 안에서 처리된다. 그 결과에 의한 데이터가 BSC(1307)로 전달된다. BSC(1307)는 BTS들(1305) 사이의 소프트 핸드오프들의 지휘(orchestration)를 포함해 통화 자원 할당 및 이동성 관리 기능을 지원한다. BSC(1307)은 또한 수신된 데이터를 MSC(1319)로 라우팅하고, 그러면 MSC는 PSTN(1321)과의 인터페이스를 위한 추가 라우팅 및/또는 스위칭을 제공한다. MSC(1319)는 또, 통화 설정, 중지, MSC 간 핸드오버 및 보충 서비스 관리, 그리고 비용청구 및 회계 정보 수집 역시 책임진다. 마찬가지로, 무선 네트워크(1300)는 포워드-링크 메시지들을 전송한다. PSTN(1321)은 MSC(1319)와 인터페이스한다. MSC(1319)는 추가로 BSC(1307)와 인터페이스하고, BSC는 다시 BTS들(1305)와 통신하고, BST들이 포워드-링크 신호들을 변조하여 모바일 유닛들의 세트들(1301)로 전송한다.During normal cellular telephone system operation,
도 13b에 도시된 바와 같이, GPRS 하부구조(1350)의 두 가지 주요 요소들이 SGSN (Serving GPRS Supporting Node)(1332)와 GGSN (Gateway GPRS Support Node)(1334)이다. 그 외에, GPRS 하부구조는 PCU (패킷 제어 유닛)(1336)과 비용청구 시스템(1339)과 링크된 청구 게이트웨이 기능 (CFG, Charging Gateway Function)(1338)을 포함한다. GPrS 모바일 스테이션 (MS)(1341)는 가입자 아이디 모듈 (SIM)(1343)을 활용하다.As shown in FIG. 13B, two main elements of the
PCU(1336)는 전파공간 인터페이스 액세스 제어, 전파공간 인터페이스상의 패킷 스케줄링, 및 패킷 어셈블리와 리어셈블리에 대한 패킷 스케줄링 같은 GPRS 관련 기능들을 책임지는 논리적 네트워크 요소이다. 일반적으로 PCU(1336)는 물리적으로 BSC(1345)와 통합되어 있으나; BTS(1347)이나 SGSN(1332)와 함께 자리할 수 있다. SGSN(1332)는 이동성 관리, 보안, 및 액세스 제어 기능들을 포함해 MSC(1349)와 등가적 기능들을 제공하나, 단 패킷 교환형 도메인 안에서만 제공한다. 또, SGSN(1332)는 가령, BSS GPRS 프로토콜 (BSSGP)를 이용하는 페임 릴레이 기반 (Fame Relay-based) 인터페이스 등을 통해 PCU(1336)과 연결된다. 단 하나의 SGSN이 도시되었으나, 여러 SGSN들(1331)이 이용될 수 있고, 서비스 영역을 대응하는 라우팅 영역들 (RAs)로 나눌 수 있다는 것을 알아야 한다. SGSN/SGSN 인터페이스는 진행중인 PDP (Personal Development Planning) 상황 중에 RA 업데이트가 일어날 때 구 SGSN들에서 새 SGSN들로의 패킷 터널링을 허용한다. 소정 SGSN이 여러 BSC들(1345)을 서비스하는 동안, 어떤 주어진 BSC(1345)는 일반적으로 한 SGSN(1332)와 인터페이스 한다. 또, SGSN(1332)은 GPRS 개선형 모바일 어플리케이션 파트 (MAP)를이용하는 SS7-기반 인터페이스를 통해 HLR(1351)과, 혹은 시그날링 연결 제어 파트 (SCCP)를이용하는 SS7 기반 인터페이스를 통한 MSC(1349)와 선택적으로 연결된다. SGSN/HLR 인터페이스는 SGSN(1332)이 HLR(1351)로 위치 업데이트를 제공하도록 하고, SGSN 서비스 영역 안에서 GPRS 관련 가입 정보를 검색하도록 할 수 있다. SGSN/MSC 인터페이스는 가입자에게 음성 통화에 대해 페이징하는 것 같은, 회로 교환형 서비스들 및 패킷 데이터 서비스들 간 조정을 가능하게 한다. 마지막으로, SGSN(1332)는 SMSC(1353)과 인터페이스하여 네트워크(1350)를 통해 단문 메시징 기능을 가능하게 한다.
GGSN(1334)는 인터넷(1313)이나 다른 사설 고객 네트워크들(1355) 같은 외부 패킷 데이터 네트워크들에 대한 게이트웨이이다. 네트워크(1355)는 PDSN(1361)을 통해 액세스 되는 하나 이상의 데이터베이스드(1359)에 링크되는 네트워크 관리 시스템 (NMS)(1357)을 포함한다. GGSN(1334)은 인터넷 프로토콜 (IP) 어드레스들을 할당하고, 원격 인증 다이얼-인 사용자 서비스 (Remote Authentication Dial-In User Service) 호스트로서 작동하는 사용자들을 인증할 수도 있다. GGSN(1334)에 자리한 방화벽들 역시 인증되지 않은 트래픽을 제한하는 방화벽 기능을 수행한다. 단 하나의 GGSN(1334)만이 보여지고 있으나, 소정 SGSN(1332)이 하나 이상의 GGSN들(1333)과 인터페이스하여 사용자 데이터가 두 개체들 사이에서 뿐 아니라 네트워크(1350)에서 네트워크로 터널링될 수 있게 할 수 있다는 것을 알아야 한다. 외부 데이터 네트워크들이 GPRS 네트워크(1350)을 통해 세션을 초기화할 때, GGSN(1334)는 HLR(1351)에 현재 MS(1341)를 서비스하는 SGSN(1332)에 대해 질의한다.
BTS(1347) 및 BSD(1345)는 어떤 모바일 스테이션(MS)(1341)이 언제 무선 채널에 액세스했는지를 제어하는 것을 포함해, 무선 인터페이스를 관리한다. 이 요소들은 실질적으로 MS(1341)과 SGSN(1332) 사이에서 메시지를 릴레이한다. SGSN(1332)는 MS(1341)과의 통신을 관리하고, 데이터를 송수신하며 그 위치를 추적한다. SGSN(1332)는 또 MS(1341)를 등록하고, MS(1341)를 인증하며, MS(1341)로 보내는 데이터를 암호화한다.The
도 14는 본 발명의 일실시예에 따라, 도 13a 및 13b의 시스템들에서 작동할 수 있는 모바일 스테이션 (가령, 핸드셋)의 전형적 구성요소들에 대한 다이어그램이다. 일반적으로, 무선 수신기는 흔히 프론트-엔드 (front-end) 및 백-엔드 (back-end) 특성들과 관련해 정의된다. 수신기의 프론트-엔드는 모든 무선 주파수 (RF) 회로를 둘러싸는 반면, 백-엔드는 모든 기저대역 처리 회로를 둘러싼다. 전화기의 관련 내부 구성요소들은 메인 컨트롤 유닛 (MCU)(1403), 디지털 신호 프로세서 (DSP)(1405), 그리고 마이크 이득 제어 유닛과 스피커 이득 제어 유닛을 포함하는 송수신기 유닛을 포함한다. 메인 디스플레이 유닛(1407)은 다양한 어플리케이션들과 모바일 스테이션 기능들을 지원하고자 사용자에게 디스플레이를 제공한다. 오디오 기능 회로(1409)는 마이크(1411)와, 마이크(1411)에서 출력되는 스피치 신호를 증폭하는 마이크 증폭기를 포함한다. 마이크(1411)로부터 출력되어 증폭된 스피치 신호는 코더/디코더 (CODEC)(1413)으로 주어진다.14 is a diagram of typical components of a mobile station (eg, handset) that may operate in the systems of FIGS. 13A and 13B, in accordance with an embodiment of the present invention. In general, wireless receivers are often defined in terms of front-end and back-end characteristics. The front-end of the receiver surrounds all radio frequency (RF) circuits, while the back-end surrounds all baseband processing circuits. Related internal components of the telephone include a main control unit (MCU) 1403, a digital signal processor (DSP) 1405, and a transceiver unit comprising a microphone gain control unit and a speaker gain control unit. The
무선 섹션(1415)은 모바일 통신 시스템 (가령, 도 13a 또는 13b의 시스템들)에 포함되는 베이스 스테이션과 안테나(1417)를 통해 통신하기 위해 전력을 증폭하고 주파수를 변환한다. 파워 증폭기 (PA)(1419) 및 송신기/변조 회로는 MCU(1403)에 선택적으로 응답하며, PA(1419)로부터의 출력은 이 기술분야에 알려진 바대로 듀플렉서(1421)나 순환기(circulator) 또는 안테나 스위치에 연결되어 있다.The
사용시, 모바일 스테이션(1401)의 사용자는 마이크(1411)에 대해 말하며, 그의 목소리는 검출된 어떤 배경 잡음과 함께 아날로그 전압으로 변환된다. 그러면 그 아날로그 전압이 아날로그-디지털 컨버터 (ADC)(1423)을 통해 디지털 신호로 변환된다. 제어 유닛(1403)이 그 디지털 신호를 DSP(1405)로 라우팅하여, 스피치 인코딩, 채널 인코딩, 암호화, 및 인터리빙 (interleaving) 등의 처리를 하도록 한다. 전형적인 실시예에서, 처리된 음성 신호들은 여기서 따로 보이고 있지 않은 유닛들에 의해, 여기 그 전체가 참조되어 포함된 듀얼 모드 광역 확산 스펙트럼 셀룰라 시스템을 위한 전기통신 산업 협회의 TIA/EIA/IS-95-A 모바일 스테이션-베이스 스테이션 호환성 규격 안에 상세히 개시된 바와 같이, 코드 분할 다중화 액세스 (CDMA)의 셀룰라 전송 프로토콜을 이용해 인코딩된다.In use, the user of the
인코딩된 신호들은 이제, 위상 및 진폭 왜곡 같은 전파공간을 통한 전송 중에 일어나는 어떤 주파수 종속적 장애 보상을 위해, 이퀄라이저(1425)로 라우팅된다. 비트 스트림을 이퀄라이징 한 뒤에, 변조기(1427)가 그 신호를 RF 인터페이스(1429)에서 생성된 RF 신호와 합성한다. 변조기(1427)는 주파수나 위상 변조를 통해 정현파를 발생한다. 전송할 신호를 준비하기 위해, 업-컨버터(1431)가 변조기(1427)로부터 출력된 그 정현파를, 합성기(synthesizer)(1433)에 의해 생성된 다른 정현파와 결합하여 원하는 전송 주파수를 만든다. 이 신호는 이제, 적절한 전력 레벨까지 신호를 증폭하는 PA(1419)를 통해 전송된다. 실제 시스템들에서는, PA(1419)가, 네트워크 베이스 스테이션으로부터 수신된 정보에서 DSP(1405)에 의해 그 이득이 제어되는 가변 이득 증폭기로서 동작한다. 이제 신호는 듀플렉서(1421) 안에서 필터링되고, 선택적으로 안테나 커플러(1435)로 전송되어 최대 전력 전송을 제공하도록 임피던스들을 매치시킨다. 마지막으로, 신호는 안테나(1417을 통해 로컬 베이스 스테이션으로 전송된다. 자동 이득 제어 (AGC)가 수신기의 최종 단들의 이득을 제어하기 위해 제공될 수 있다. 신호들은 그로부터 다른 셀룰라 전화기이거나, 다른 모바일 전화, 또는 PSTN이나 다른 전화 네트워크들에 연결된 지상 라인일 수 있는 원격 전화기로 전달될 수 있다.The encoded signals are now routed to
모바일 스테이션(1401)로 전송된 음성 신호들은 안테나(1417)을 통해 수신되고, 즉시 저잡음 증폭기 (LNA)(1437)에 의해 증폭된다. 다운-컨버터(1439)가 반송 주파수를 하향하는 동안 복조기(1441)가 그 RF에서 디지털 비트 스트림만을 남긴다. 그러면 그 신호는 이퀄라이저(1425)를 지나고 DSP(1005)에 의해 처리된다. 디지털-아날로그 컨버터 (DAC)(1443)이 신호를 변환하고, 그 결과가 스피커(1445)를 통해 사용자에게 전송되며, 이들 모두는 메인 컨트롤 유닛 (MCU)(1403) (중앙 처리 유닛 (CPU)로서 구현될 수 있음)(미도시)의 제어하에 이뤄진다.Voice signals sent to the
MCU(1403)은 키보드(1447)로부터의 신호들을 비롯해 여러 신호들을 수신한다. MCU(1403)는 디스플레이(1407) 및 스피치 출력 스위칭 제어기로, 각각 디스플레이 명령 및 스위치 명령을 전달한다. 또, MCU(1403)는 DSP(1405)와 정보를 교환하고, 선택적으로, 통합 SIM 카드(1449) 및 메모리(1451)에 액세스할 수 있다. 그 외에, MCU(1403)은 스테이션의 요구되는 여러 제어 동작들을 실행한다. DSP(1405)는, 구성에 따라, 음성 신호들에 대한 여러 통상의 디지털 처리 기능들 중 어느 하나를 수행할 수 있다. 부가적으로, DSP(1405)는 마이크(1411)에 의해 검출된 신호들로부터 주변 환경의 배경 잡음 레벨을 판단하고, 마이크(1411)의 이득을 모바일 스테이션(1401)의 사용자의 성향에 따라 보상하도록 선택된 레벨로 세팅한다.
CODEC(1413)은 ADC(1423) 및 DAC(1443)을 포함한다. 메모리(1451)는 발신 통화 톤 데이터를 포함해 여러 데이터를 저장하며, 가령 글로벌 인터넷을 통해 수신된 음악 데이터를 포함하는 다른 데이터를 저장할 수 있다. 소프트웨어 모듈이 RAM 메모리, 플래시 메모리, 레지스터, 또는 이 기술분야에 알려진 다른 어떤 기록가능 스토리지 안에 상주할 수 있다. 메모리 장치(1451)는, 반드시 다음에 한정되는 것은 아니지만, 단일 메모리, CD, DVD, ROM, RAM, EEPROM, 광학적 스토리지, 또는 디지털 데이터를 저장할 수 있는 어떤 다른 비휘발성 스토리지 매체일 수 있다.
옵션으로서 병합된 SIM 카드(1449)는, 가령, 셀룰라 전화 번호, 캐리어 공급 서비스, 가입자 세부사항, 및 보안 정보 같은 중요 정보를 포함한다. SIM 카드(1449)는 주로 무선 네트워크상의 모바일 스테이션(1401)을 식별하는 역할을 한다. 카드(1449)는 퍼스널 전화 번호 레지스트리, 문자 메시지, 그리고 사용자 고유 모바일 스테이션 설정사항들을 저장하기 위한 메모리 역시 포함한다.Optionally merged
도 15는 패킷 기반 및/또는 셀 기반 기술들 (가령, ATM(비동기 전송 모드), 이더넷, IP-기반 등등)을 활용하는 데이터 통신 네트워크의 어떤 종류일 수 있는, 전형적 기업 네트워크를 보인다. 기업 네트워크(1501)는 각각이 상술한 프로세스들을 수행하도록 설정되어 있는 무선 노드들(1505-1509) 및 유선 노드들(1503)에 대한 연결 (고정형 혹은 이동형)을 지원한다. 기업 네트워크(1501)는 WLAN 네트워크(1511 (가령 IEEE 802.11), cdma2000 셀룰라 네트워크(1513), 전화 네트워크(1515) (가령, PSTN), 또는 공공 데이터 네트워크(1517) (가령, 인터넷) 같은 각종 다른 네트워크들과 통신할 수 있다.FIG. 15 shows a typical enterprise network, which may be any kind of data communication network utilizing packet-based and / or cell-based technologies (eg, ATM (asynchronous transfer mode), Ethernet, IP-based, etc.).
본 발명이 여러 실시예들 및 구성예들과 관련해 설명되었지만, 본 발명은 거기에 국한되지 않고, 첨부된 청구항들의 범위 안에 들어오는 다양하고도 명백한 변형들 및 등가적 구성들 역시 커버한다. 본 발명의 특성들이 청구항들 간의 소정 조합을 통해 표현되고 있으나, 이들 특성들은 다른 조합 및 순서로도 결정될 수 있다고 간주 된다.Although the invention has been described in connection with various embodiments and configurations, the invention is not limited thereto but also covers various and obvious variations and equivalent arrangements falling within the scope of the appended claims. While the features of the invention are expressed through certain combinations of the claims, it is contemplated that these features may be determined in other combinations and orders.
Claims (57)
Applications Claiming Priority (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US65162005P | 2005-02-11 | 2005-02-11 | |
US65223505P | 2005-02-11 | 2005-02-11 | |
US60/651,620 | 2005-02-11 | ||
US60/652,235 | 2005-02-11 | ||
US67162105P | 2005-04-15 | 2005-04-15 | |
US60/671,621 | 2005-04-15 | ||
US11/352,058 US9300641B2 (en) | 2005-02-11 | 2006-02-10 | Method and apparatus for providing bootstrapping procedures in a communication network |
US11/352,058 | 2006-02-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20070100932A true KR20070100932A (en) | 2007-10-12 |
Family
ID=36792922
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020077020840A KR20070100932A (en) | 2005-02-11 | 2006-02-10 | Method and apparatus for providing bootstrapping procedures in a communication network |
Country Status (7)
Country | Link |
---|---|
US (2) | US9300641B2 (en) |
EP (1) | EP1851932A1 (en) |
JP (1) | JP2008530879A (en) |
KR (1) | KR20070100932A (en) |
BR (1) | BRPI0608531A2 (en) |
MX (1) | MX2007009705A (en) |
WO (1) | WO2006085207A1 (en) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070100932A (en) | 2005-02-11 | 2007-10-12 | 노키아 코포레이션 | Method and apparatus for providing bootstrapping procedures in a communication network |
US8046824B2 (en) * | 2005-04-11 | 2011-10-25 | Nokia Corporation | Generic key-decision mechanism for GAA |
DE102005026982A1 (en) * | 2005-06-10 | 2006-12-14 | Siemens Ag | Method for agreeing a security key between at least one first and a second communication subscriber for securing a communication connection |
CN100379315C (en) * | 2005-06-21 | 2008-04-02 | 华为技术有限公司 | Method for carrying out authentication on user terminal |
US7835528B2 (en) * | 2005-09-26 | 2010-11-16 | Nokia Corporation | Method and apparatus for refreshing keys within a bootstrapping architecture |
US8122240B2 (en) * | 2005-10-13 | 2012-02-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for establishing a security association |
EP2033479B1 (en) * | 2006-06-19 | 2012-02-22 | Interdigital Technology Corporation | Method and apparatus for security protection of an original user identity in an initial signaling message |
US20080095361A1 (en) * | 2006-10-19 | 2008-04-24 | Telefonaktiebolaget L M Ericsson (Publ) | Security-Enhanced Key Exchange |
US7885640B2 (en) * | 2007-01-11 | 2011-02-08 | Nokia Corporation | Authentication in communication networks |
US7992198B2 (en) * | 2007-04-13 | 2011-08-02 | Microsoft Corporation | Unified authentication for web method platforms |
US8327456B2 (en) * | 2007-04-13 | 2012-12-04 | Microsoft Corporation | Multiple entity authorization model |
US8613058B2 (en) * | 2007-05-31 | 2013-12-17 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network |
CN101378591B (en) * | 2007-08-31 | 2010-10-27 | 华为技术有限公司 | Method, system and device for negotiating safety capability when terminal is moving |
CN101399767B (en) | 2007-09-29 | 2011-04-20 | 华为技术有限公司 | Method, system and apparatus for security capability negotiation during terminal moving |
JP5167759B2 (en) * | 2007-10-24 | 2013-03-21 | 日本電気株式会社 | Communication system, communication method, authentication information management server, and small base station |
US9232390B2 (en) | 2007-12-11 | 2016-01-05 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and apparatuses generating a radio base station key in a cellular radio system |
CN101605353B (en) * | 2008-06-13 | 2012-08-29 | 上海华为技术有限公司 | Data communication method, communication system and relevant device |
US8516246B2 (en) * | 2008-08-07 | 2013-08-20 | Gilat Satellite Networks Ltd. | Network binding |
JP5236414B2 (en) * | 2008-09-29 | 2013-07-17 | 京セラ株式会社 | Wireless communication terminal |
US8661257B2 (en) | 2010-05-18 | 2014-02-25 | Nokia Corporation | Generic bootstrapping architecture usage with Web applications and Web pages |
US8566910B2 (en) * | 2010-05-18 | 2013-10-22 | Nokia Corporation | Method and apparatus to bind a key to a namespace |
US9356951B2 (en) * | 2010-07-09 | 2016-05-31 | Hewlett Packard Enterprise Development Lp | Responses to server challenges included in a hypertext transfer protocol header |
US9009801B2 (en) * | 2010-12-30 | 2015-04-14 | Interdigital Patent Holdings, Inc. | Authentication and secure channel setup for communication handoff scenarios |
WO2012118490A1 (en) * | 2011-03-01 | 2012-09-07 | Nokia Corporation | Methosd and apparatus for facilitating communications in an unlicensed frequency band |
MY159749A (en) * | 2011-03-23 | 2017-01-31 | Interdigital Patent Holdings Inc | Systems and methods for securing network communications |
US8699709B2 (en) | 2011-07-08 | 2014-04-15 | Motorola Solutions, Inc. | Methods for obtaining authentication credentials for attaching a wireless device to a foreign 3GPP wireless domain |
US8929862B2 (en) * | 2011-07-08 | 2015-01-06 | Motorola Solutions, Inc. | Method and apparatus for attaching a wireless device to a foreign 3GPP wireless domain using alternative authentication mechanisms |
US10044713B2 (en) | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
CN103428690B (en) * | 2012-05-23 | 2016-09-07 | 华为技术有限公司 | The safe method for building up of WLAN and system, equipment |
EP2912815B1 (en) * | 2012-10-29 | 2016-06-29 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for securing a connection in a communications network |
FR3007920A1 (en) | 2013-06-28 | 2015-01-02 | France Telecom | AUTHENTICATION KEY CHANGE METHOD |
GB2518254B (en) | 2013-09-13 | 2020-12-16 | Vodafone Ip Licensing Ltd | Communicating with a machine to machine device |
EP3069545B1 (en) * | 2013-11-15 | 2018-08-08 | Telefonaktiebolaget LM Ericsson (publ) | Methods and devices for bootstrapping of resource constrained devices |
US9735967B2 (en) * | 2014-04-30 | 2017-08-15 | International Business Machines Corporation | Self-validating request message structure and operation |
JP2018507646A (en) | 2015-02-27 | 2018-03-15 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Security configuration for communication between communication devices and network devices |
CN106487501B (en) * | 2015-08-27 | 2020-12-08 | 华为技术有限公司 | Key distribution and reception method, key management center, first network element and second network element |
US10588019B2 (en) | 2016-05-05 | 2020-03-10 | Qualcomm Incorporated | Secure signaling before performing an authentication and key agreement |
US10129223B1 (en) * | 2016-11-23 | 2018-11-13 | Amazon Technologies, Inc. | Lightweight encrypted communication protocol |
US10630682B1 (en) | 2016-11-23 | 2020-04-21 | Amazon Technologies, Inc. | Lightweight authentication protocol using device tokens |
JPWO2018135524A1 (en) * | 2017-01-17 | 2019-12-12 | 日本電気株式会社 | Communication system, communication terminal, AMF entity, and communication method |
DE102017202052A1 (en) * | 2017-02-09 | 2018-08-09 | Robert Bosch Gmbh | Method and device for agreeing a common key between a first node and a second node of a computer network |
US11265699B2 (en) | 2018-02-23 | 2022-03-01 | T-Mobile Usa, Inc. | Identifier-based access control in mobile networks |
US10637858B2 (en) * | 2018-02-23 | 2020-04-28 | T-Mobile Usa, Inc. | Key-derivation verification in telecommunications network |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5615267A (en) * | 1995-07-17 | 1997-03-25 | Bell Communications Research, Inc. | Method for adaptively switching between PCS authentication schemes |
JP3272283B2 (en) * | 1997-11-14 | 2002-04-08 | 富士通株式会社 | Electronic data storage device |
US6985953B1 (en) * | 1998-11-30 | 2006-01-10 | George Mason University | System and apparatus for storage and transfer of secure data on web |
US20050037065A1 (en) * | 1999-05-27 | 2005-02-17 | Drugtech Corporation | Nutritional formulations |
AU6816101A (en) * | 2000-06-05 | 2001-12-17 | Phoenix Tech Ltd | Systems, methods and software for remote password authentication using multiple servers |
US6836765B1 (en) * | 2000-08-30 | 2004-12-28 | Lester Sussman | System and method for secure and address verifiable electronic commerce transactions |
US20020146129A1 (en) * | 2000-11-09 | 2002-10-10 | Kaplan Ari D. | Method and system for secure wireless database management |
US7047405B2 (en) * | 2001-04-05 | 2006-05-16 | Qualcomm, Inc. | Method and apparatus for providing secure processing and data storage for a wireless communication device |
US20030037237A1 (en) * | 2001-04-09 | 2003-02-20 | Jean-Paul Abgrall | Systems and methods for computer device authentication |
US7181620B1 (en) * | 2001-11-09 | 2007-02-20 | Cisco Technology, Inc. | Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach |
US20030211842A1 (en) * | 2002-02-19 | 2003-11-13 | James Kempf | Securing binding update using address based keys |
US7587598B2 (en) * | 2002-11-19 | 2009-09-08 | Toshiba America Research, Inc. | Interlayer fast authentication or re-authentication for network communication |
ATE504446T1 (en) * | 2002-12-02 | 2011-04-15 | Silverbrook Res Pty Ltd | DEAD NOZZLE COMPENSATION |
US20070055870A1 (en) * | 2003-05-13 | 2007-03-08 | Alessandro Bruti | Process for secure communication over a wireless network, related network and computer program product |
US7398550B2 (en) * | 2003-06-18 | 2008-07-08 | Microsoft Corporation | Enhanced shared secret provisioning protocol |
US7046647B2 (en) * | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
KR20070100932A (en) | 2005-02-11 | 2007-10-12 | 노키아 코포레이션 | Method and apparatus for providing bootstrapping procedures in a communication network |
-
2006
- 2006-02-10 KR KR1020077020840A patent/KR20070100932A/en active IP Right Grant
- 2006-02-10 JP JP2007554672A patent/JP2008530879A/en active Pending
- 2006-02-10 WO PCT/IB2006/000272 patent/WO2006085207A1/en active Application Filing
- 2006-02-10 BR BRPI0608531-8A patent/BRPI0608531A2/en not_active IP Right Cessation
- 2006-02-10 EP EP06710363A patent/EP1851932A1/en not_active Withdrawn
- 2006-02-10 US US11/352,058 patent/US9300641B2/en active Active
- 2006-02-10 MX MX2007009705A patent/MX2007009705A/en unknown
-
2016
- 2016-03-15 US US15/070,678 patent/US9906528B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP1851932A1 (en) | 2007-11-07 |
JP2008530879A (en) | 2008-08-07 |
US20160197922A1 (en) | 2016-07-07 |
MX2007009705A (en) | 2007-10-04 |
US9906528B2 (en) | 2018-02-27 |
US9300641B2 (en) | 2016-03-29 |
BRPI0608531A2 (en) | 2010-01-12 |
US20060182280A1 (en) | 2006-08-17 |
WO2006085207A1 (en) | 2006-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9906528B2 (en) | Method and apparatus for providing bootstrapping procedures in a communication network | |
EP1932319B1 (en) | Method and apparatus for refreshing keys within a bootstrapping architecture | |
US8522025B2 (en) | Authenticating an application | |
US7546459B2 (en) | GSM-like and UMTS-like authentication in a CDMA2000 network environment | |
CA2571255C (en) | Wireless device authentication between different networks | |
KR100980132B1 (en) | Method for agreeing on a security key between at least one first and one second communications station for securing a communications link | |
JP4643657B2 (en) | User authentication and authorization in communication systems | |
US20140023194A1 (en) | Managing User Access in a Communications Network | |
CN101156412B (en) | Method and apparatus for providing bootstrapping procedures in a communication network | |
JP2011139457A (en) | System and method for secure transaction of data between wireless communication device and server | |
WO2010074122A1 (en) | Communication system, femto cell base station, authentication device, communication method, and recording medium | |
US20070124587A1 (en) | Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal | |
Sharma et al. | Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks | |
Dinckan et al. | Authentication and ciphering in GPRS Network | |
Latze | Towards a secure and user friendly authentication method for public wireless networks | |
Audestad | Mobile Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
NORF | Unpaid initial registration fee |